kerberos + ldap：選択したホストのみにユーザアクセスを作成する

Question

私はKerberosを理解しようとしています& LDAP。 kerberos（認証）がすでにインストールされています。openldap（ユーザー情報）&がインストールされています。

私はunixユーザ（user01）を "migrationtools"を使ってopenldapに移行しました。また、kadminのを使用して作成されたユーザとホストの原則の下 ...

  addprinc user01 
      addprinc -randkey host/host01.example.com 
      addprinc -randkey host/host02.example.com 

私は3つのホスト持っている、のは、言ってみましょう：今すぐ

  host01.example.com 
      host02.example.com 
      host03.example.com  

を、私の質問は：私は確信している「USER01」を作ることができる方法host01にのみアクセスできます& host02、host03ではありませんか？我々はSSSDを使用して、いくつかの回避策を行うことができますように

おかげで、 オベイド

Answer 1

は思えます。

"/etc/sssd/sssd.conf"を編集して "access_provider"パラメータを使用すると、これを実行できます。

最初、私は以下のパラメータを使用してみました、私の環境（OpenLDAPの+ krb5のを）ファイル考える "/etc/sssd/sssd.conf"：

[domain/default] 
access_provider = ldap 
ldap_access_filter = memberOf=cn=demo1,ou=Groups,dc=example,dc=com 

しかし、できるだけ早く私は、このパラメータを「置くようaccess_provider = ldap "を実行すると、すべてのLDAPユーザーがログインに失敗しました。

は、それから私は、ファイル内のパラメータ「/etc/sssd/sssd.conf」以下のような簡単なアクセス方法を試してみました：

access_provider = simple 
simple_allow_groups = demo1,demo2 

シンプルなアクセス・プロバイダは、私のために働きました。

上記の例では、demo1 & demo2はopenldapでのみ定義されたグループであり、 "access_provider = simple"が動作しています。だから、それは私の解決策として潜在的な候補です。私は "id_provider = ldap"を使用しています。

これについて他の考えや解決策を聞きたいので、私にとってだけでなく、同様のシナリオを持つ他の人にとっても良い解決策を見つけることができます。あなたはOpenLDAPのにUNIX認証をバインドすることを期待するにはどうすればよい

おかげで、 オベイド