ฉันพยายามจำกัดการเข้าสู่ระบบ LDAP ไว้ที่กลุ่ม "ผู้ดูแลระบบ"
นี่คือไฟล์ /etc/sssd/sssd.conf ของฉัน:
[โดเมน/ค่าเริ่มต้น]
autofs_provider = ldap
ldap_tls_reqcert = อนุญาต
auth_provider = ldap
ldap_id_use_start_tls = เท็จ
chpass_provider = ldap
cache_credentials = จริง
debug_timestamps = จริง
ldap_default_authtok_type = รหัสผ่าน
ldap_search_base = dc=ตัวอย่าง,dc=com
id_provider = ldap
ldap_default_bind_dn = cn=ผู้ดูแล,ou=ผู้ดูแล,ou=ทดสอบ,o=องค์กร,dc=ตัวอย่าง,DC=COM
min_id = 100
ldap_uri = ldaps://example.com:636/
ldap_default_authtok = Pa$$คำ
ldap_tls_cacertdir = /etc/openldap/cacerts/
ldap_tls_cert = /etc/openldap/cacerts/certificate.pem
access_provider = ldap
ldap_access_filter = memberOf=cn=admin,ou=group,o=organization,dc=example,dc=com
[sssd]
บริการ = nss, pam, autofs
โดเมน = ค่าเริ่มต้น
[nss]
homedir_substring = /บ้าน
[แพม]
[ซูโดะ]
[อัตโนมัติ]
[ssh]
[แพค]
[ifp]
[ความลับ]
[เซสชั่น_บันทึก]
ฉันได้พยายามทำ ชื่อผู้ใช้ไอดี และมันมาพร้อมกับ:
รหัสผู้ใช้ uid=90514(ผู้ใช้) gid=20000(ผู้ใช้) กลุ่ม=20000(ผู้ใช้),2480(ผู้ดูแลระบบ)
เมื่อพยายามเปลี่ยนผู้ใช้โดยทำ ผู้ใช้ su มันให้ข้อผิดพลาด su: การอนุญาตถูกปฏิเสธ หลังจากป้อนรหัสผ่านแล้ว
เมื่อลบรายการจำกัดกลุ่มออกจาก sssd.conf จะทำงานตามที่คาดไว้และอนุญาตให้ผู้ใช้เข้าสู่ระบบ
ความคิดใดที่ฉันทำผิดพลาด?
แก้ไข: สำหรับตอนนี้ฉันจะตั้งค่าด้วย / etc / ความปลอดภัยและ PAM และนั่นก็ได้ผล อย่างไรก็ตามฉันยังสงสัยเกี่ยวกับการทำด้วย sssd
ตาม https://www.mankier.com/5/sssd-ldap:
ldap_access_filter (สตริง)
หากใช้ access_provider = ldap และ ldap_access_order = filter (ค่าเริ่มต้น) สิ่งนี้
ตัวเลือกเป็นสิ่งที่จำเป็น โดยจะระบุเกณฑ์การกรองการค้นหาของ LDAP ที่ต้องปฏิบัติตาม
เพื่อให้ผู้ใช้ได้รับสิทธิ์เข้าถึงบนโฮสต์นี้
หาก access_provider = ldap, ldap_access_order = filter และไม่ได้ตั้งค่าตัวเลือกนี้
จะส่งผลให้ผู้ใช้ทั้งหมดถูกปฏิเสธการเข้าถึง ใช้ access_provider = อนุญาตให้
เปลี่ยนพฤติกรรมเริ่มต้นนี้
เห็นได้ชัดว่า การเพิ่ม access_provider = permit ควรแก้ไขปัญหาของคุณ
สมาชิกโอเวอร์เลย์มีอยู่ในคอนฟิกูเรชัน LDAP ของคุณหรือไม่ เท่าที่ฉันเข้าใจ การซ้อนทับนี้ต้องได้รับการกำหนดค่าอย่างชัดแจ้งก่อนจึงจะใช้งานได้
ผลลัพธ์ของคำสั่งต่อไปนี้ควรมีบางอย่างเช่น 'memberof.la' ถ้าไม่ คุณควรกำหนดค่าเซิร์ฟเวอร์ LDAP ของคุณตั้งแต่แรก
สแลปแคท -n 0 | grep olcModuleLoad
สิ่งนี้อาจเป็นประโยชน์: https://tylersguides.com/guides/openldap-memberof-overlay/#configuration_tag https://stackoverflow.com/questions/60994495/memberof-and-refint-does-not-work-in-openldap
คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา
