我的部门正在改用 sssd 和 ldap 来登录我们所有的 Linux 主机。我已经一切正常,但在我们的开发环境中继续测试之前,我希望解决一个问题。我们指定可以使用 ldap_access_filter 选项登录的 ldap 组,并且按预期工作,但具有 root 访问权限的用户似乎可以切换到 ldap 用户(使用 root 权限),而应阻止使用 ldap_access_filter 选项登录。 ldap_access_filter。我希望能够不允许用户切换或通过 id 命令获取信息给这些不需要访问我所关心的机器的用户。是否可以通过修改我的 ldap_search_base、ldap_user_search_base 或 ldap_group_search_base 或者其他方法来防止这种情况发生。
这是我的 sssd 配置
[sssd]
#debug_level = 9
config_file_version = 2
services = nss, pam
domains = domain.edu
[pam]
#debug_level = 9
offline_credentials_expiration = 30
[domain/domain.edu]
#debug_level = 9
id_provider = ldap
auth_provider = ldap
access_provider = ldap
ldap_schema = rfc2307bis
ldap_uri = ldaps://sub.domain.edu:636
ldap_search_base = ou=people,o=cuid
ldap_default_bind_dn = cn=svcaccount,ou=proxy,o=cuid
ldap_access_order = filter
ldap_access_filter = groupMembership=cn=devtest,ou=groups,ou=people,o=cuid
ldap_default_authtok_type = obfuscated_password
ldap_default_authtok = [redacted]
ldap_tls_cacert = /etc/openldap/certs/devldap.pem
ldap_tls_reqcert = never
enumerate = true
cache_credentials = True
account_cache_expiration = 30
entry_cache_timeout = 14400
subdomain_inherit = ignore_group_members, ldap_purge_cache_timeout
ignore_group_members = True
ldap_purge_cache_timeout = 0
access_provider = ldap
我找到了答案
这样一来,只有 devtest 组中的用户才能让 sssd 轮询其信息。