Meu departamento está mudando para usar sssd com ldap para logins em todos os nossos hosts Linux. Tudo está funcionando, mas havia um problema que eu esperava resolver antes de continuar os testes em nosso ambiente de desenvolvimento. Especificamos os grupos ldap que podem efetuar login usando a opção ldap_access_filter e isso funciona conforme o esperado, mas parece ser possível para usuários com acesso root mudar para usuários ldap (usando su do root) que devem ser impedidos de efetuar login usando o ldap_access_filter. Eu gostaria de não permitir a troca de usuários ou a obtenção de informações por meio do comando id para esses usuários que não precisam de acesso às máquinas com as quais estou preocupado. É possível evitar que isso aconteça modificando meu ldap_search_base, ldap_user_search_base ou ldap_group_search_base ou talvez algum outro método.
Esta é minha configuração sssd
[sssd]
#debug_level = 9
config_file_version = 2
services = nss, pam
domains = domain.edu
[pam]
#debug_level = 9
offline_credentials_expiration = 30
[domain/domain.edu]
#debug_level = 9
id_provider = ldap
auth_provider = ldap
access_provider = ldap
ldap_schema = rfc2307bis
ldap_uri = ldaps://sub.domain.edu:636
ldap_search_base = ou=people,o=cuid
ldap_default_bind_dn = cn=svcaccount,ou=proxy,o=cuid
ldap_access_order = filter
ldap_access_filter = groupMembership=cn=devtest,ou=groups,ou=people,o=cuid
ldap_default_authtok_type = obfuscated_password
ldap_default_authtok = [redacted]
ldap_tls_cacert = /etc/openldap/certs/devldap.pem
ldap_tls_reqcert = never
enumerate = true
cache_credentials = True
account_cache_expiration = 30
entry_cache_timeout = 14400
subdomain_inherit = ignore_group_members, ldap_purge_cache_timeout
ignore_group_members = True
ldap_purge_cache_timeout = 0
access_provider = ldap