мы используем сервер openldap с sssd для аутентификации пользователей на Centos, и все работает нормально. однако, когда мы пытаемся настроить фильтр доступа, чтобы ограничить вход пользователям определенной группы (linuxgroup), так как на сервере openldap много других пользователей.
проблема в openldap нет атрибута memberof, кто-нибудь знает, как заставить его работать для фильтрации групп в openldap?
В OpenLDAP действительно есть атрибут memberOf, но вы должны включить и настроить оверлей «memberOf», и вы должны сделать это, прежде чем добавлять каких-либо участников в группы, иначе перейдите в каталог и удалите и добавьте обратно каждого члена. из каждой группы, так как кукла это в первый раз. После этого он сохранит себя.
В качестве альтернативы вы можете просто написать фильтр, который ищет в группе DN пользователя, а не наоборот.
(roleOccupant={0}) для organizationalRole или (uniqueMember={0}) для groupOfUniqueNames, где {0} указывается как DN пользователя. Это даст вам все роли/группы, членом которых является DN. Если вы хотите искать только одну группу, либо начните поиск с этого DN, либо укажите DN в фильтре: (&(dn={0})(roleOccupant={1})) и т. д.
- person user207421; 25.06.2013
У вас была возможность посмотреть на провайдера простого доступа? Это более простой (каламбур!) метод ограничения доступа к определенной группе. Просто поместите их в свой sssd.conf файл:
access_provider = simple
simple_allow_groups = linuxgroup
перезапустите SSSD, и все будет готово. Не нужно ничего менять на стороне сервера. См. "man sssd-simple" для более подробной информации.
