我想在交互式shell中运行这两个命令,一个接一个(作为root并加载“过滤器”表和“输入”链):
nft define lala=1.2.3.4
nft add rule ip filter input ip saddr \$lala accept
您可以看到我转义了“$”以避免外壳扩展。但我收到此错误消息“未知标识符'lala'”。如果我不转义“$”,则会收到以下错误消息:“语法错误,意外接受”。如果我改写\$$lala,我会收到以下错误消息:“语法错误,未接收的接受,期望字符串”,并且显示了这个错误的规则:添加规则 ip 过滤器输入 ip saddr $ 接受。
那么,在交互式 shell 中使用 Nft 变量的正确语法是什么。在 Nft 脚本中做同样的事情效果很好(不用担心转义)。
非常感谢
我不知道这个想法是否毫无意义,但我想知道这是否可能。我有一个由 LDAP 服务器支持的 FreeRadius 服务器,它使用 EAP-TTLS(即用户名+密码)进行身份验证。因此,当用户连接到 802.1x 交换机时,通过查询用户名+密码的请求者连接来授予他们访问权限,这些请求者连接在 LDAP 服务器中。这部分没问题。
但是我想要的是,一旦授予此用户,通过客户端证书区分“普通”用户和“管理员”用户,该证书将被 LDAP 服务器作为属性引用,以便从任何合适的位置下载(a NFS 服务器,例如),但前提是该用户的类型为“admin”。然后,将使用该客户端证书(我不知道如何,这就是问题所在)要求访问另一个 FreeRadius 服务器,在这种情况下,它将使用 EAP-TLS 方法,因此“管理员”用户将被授予另一个网络的一部分(那里会有另一种合理的服务器),而“普通”用户则不会。
总之:我希望有一个 FreeRadius 服务器来授予访问用户对局域网的第一个“视图”以及另一个 FreeRadius 服务器(由前者代理?),这将允许访问局域网上的另一个“更秘密”区域,具体取决于在用户身上。这可能吗?
非常感谢!!
我在名为“miservidor.midominio.local”的 Fedora 30 远程机器上运行 389DS LDAPS 服务器(带有自签名证书)。我有一个包含用户和组条目的典型目录。
我可以毫无问题地从另一台 Fedora 30 机器(客户端的机器)检索目录数据。例如,执行此命令(“usu1ldap”是位于“usuarios”组织单位内的用户名)...:
LDAPTLS_REQCERT=never ldapsearch -H ldaps://miservidor.midominio.local -b "dc=midominio,dc=local" uid=usu1ldap
...我得到:
但我想用“usu1ldap”登录客户端机器。所以我在客户端机器中配置了 /etc/sssd/sssd.conf 文件,如下所示......:
...我已经执行了sudo authselect select sssd来“自动”配置 NSS/PAM 框架,最后我重新启动了 sssd 服务。
但是,有些东西不起作用:getent passwd不显示“usu1ldap”用户,显然,id usu1ldap 也检索“未知用户”
我究竟做错了什么?我试图掌握 sssd 的日志文件,但没有任何线索。我有点绝望了……
非常感谢您的耐心。
注意:请注意,在 sssd.conf 文件中,我必须将目录管理器的名称和密码分别分配给“ldap_default_bind_dn”和“ldap_default_authtok”行,因为我的 389DS 服务器默认情况下不允许匿名查询,我不知道如何改变这个(还)。