研究配置虚拟机 (RHEL 8) 的可行性,以便 Wheel 组中的用户使用其 LDAP 密码对 Sudo 进行身份验证
到目前为止,我所做的是配置 sssd 以进行 LDAP 身份验证,并将其添加到 sudoers 中:
Defaults !targetpw
这确实获得了预期的功能,但不幸的是它也允许任何用于登录 VM 的 LDAP 用户(我们使用 CA 签名的 ssh 证书)。我只想允许拥有本地帐户的用户。
我已经能够通过配置/etc/pam.d/sshd
为需要session required pam_localuser.so
顶部的本地用户来阻止非本地用户。
有没有更好/更简单的方法来实现这一点?
根据要求,我的 sssd.conf 示例(通过手机复制,因为我无法在工作中登录堆栈交换,所以请忽略拼写错误或随机大写):
[sssd]
services = nss, pam
config_file_version = 2
domains = MYDOMAIN.LOCAL
[domain/MYDOMAIN.LOCAL]
id_provider = ldap
auth_provider = ldap
ldap_schema = ad
ldap_user_name = sAMAccountName
ldap_id_mapping = True
ldap_uri = ldaps://ldaps.example.com:636
ldap_search_base = OU=x,OU=y,DC=MY DOMAIN,DC=LOCAL
ldap_default_bind_dn = CN=service_user,OU=x,OU=y,DC=MY DOMAIN,DC=LOCAL
ldap_default_authtok_type = obfuscated_password
ldap_default_authtok = redacted
ldap_tls_cacert = /path/to/cacert
ldap_id_use_start_tls = True
cache_credentials = True
enumerate = True
ldap_user_object_class = user
ldap_group_name = sAMAccountName
ldap_user_object_class = user
ldap_group_object_class = group
access_provider = permit
sudo_provider = ldap
chpass_provider = ldap
autofs_provider = ldap
resolver_provider = ldap