Osqui's questions

Eu quero executar esses dois comandos em um shell interativo, um após o outro (como root e com a tabela "filter" e a cadeia "input" carregadas):

nft define lala=1.2.3.4
nft add rule ip filter input ip saddr \$lala accept

Você pode ver que eu escape do "$" para evitar a expansão do shell. Mas recebo esta mensagem de erro "Identificador desconhecido 'lala'". Se eu não escapar do "$", recebo esta mensagem de erro: "Erro de sintaxe, aceitação inesperada". Se eu escrever \$$lala , recebo esta mensagem de erro: "Syntax error, uneepcted accept, esperando string" e esta regra errada é mostrada: add rule ip filter input ip saddr $ accept.

Então, qual é a sintaxe correta para poder usar variáveis ​​Nft dentro de um shell interativo. Fazer o mesmo dentro de um script Nft funciona bem (sem se preocupar em escapar).

Muito obrigado

Não sei se essa ideia é absurda, mas eu queria saber se era possível. Eu tenho um servidor FreeRadius apoiado por um servidor LDAP com uso de EAP-TTLS (ou seja, nome de usuário + senha) para autenticar. Assim, quando os usuários se conectam a um switch 802.1x, eles recebem acesso consultando a conexão do suplicante do nome de usuário+senha com os que estão no servidor LDAP. Esta parte está ok.

Mas o que eu quero é, uma vez que este usuário tenha sido concedido, distinguir entre usuários "regulares" e usuários "admin" por um certificado de cliente que será referenciado como um atributo pelo servidor LDAP para ser baixado de qualquer local adequado (um servidor NFS, por exemplo), mas apenas se esse usuário for do tipo "admin". Então, esse certificado de cliente seria usado (não sei como, essa é a questão) para pedir acesso a outro servidor FreeRadius, que usaria o método EAP-TLS nesse caso para que os usuários "admin" fossem concedidos a outro parte da rede (onde haveria outro tipo de servidores sensatos) enquanto os usuários "regulares" não.

Em resumo: eu quero ter um servidor FreeRadius para conceder acesso aos usuários a uma primeira "visão" da lan e também outro servidor FreeRadius (proxy pelo primeiro?) que daria acesso a outra zona "mais secreta" na lan dependendo no usuário. Isso é possível?

Muito obrigado!!

Estou executando um servidor LDAPS 389DS (com certificados autoassinados) em uma máquina remota Fedora 30 chamada "miservidor.midominio.local". Lá eu tenho um diretório típico contendo entradas de usuário e grupo.

Eu posso recuperar dados de diretório de outra máquina Fedora 30 (a do cliente) sem nenhum problema. Por exemplo, executando este comando ("usu1ldap" é o nome de um usuário localizado dentro de uma unidade organizacional "usuários")...:

LDAPTLS_REQCERT=nunca ldapsearch -H ldaps://miservidor.midominio.local -b "dc=midominio,dc=local" uid=usu1ldap

...Eu recebo:

Mas eu quero fazer login na máquina do cliente com "usu1ldap". Então eu configurei o arquivo /etc/sssd/sssd.conf na máquina cliente assim...:

...Eu executei sudo authselect select sssd para configurar "automagicamente" os frameworks NSS/PAM e finalmente reiniciei o serviço sssd.

No entanto, algo não funciona: getent passwd não mostra o usuário "usu1ldap" e, obviamente, id usu1ldap recupera "usu1ldap" também

O que estou fazendo errado? Eu tentei entender os arquivos de log do sssd, mas sem nenhuma pista. Estou um pouco desesperado...

Muito obrigado por sua paciência.

NOTA: Observe que no arquivo sssd.conf eu tive que atribuir o nome e a senha do gerenciador do diretório para as linhas "ldap_default_bind_dn" e "ldap_default_authtok" respectivamente porque meu servidor 389DS por padrão não permite consultas anônimas e eu não sei como mudar isso (ainda).