我在 AWS VPC(虚拟私有云)上有多个私有子网。例如 10.0.128.0/20、10.0.192.0/20、10.0.224.0/20 等。我在 VPC 上有一个 OpenVPN 网关,允许用户连接到这些私有子网。此 OpenVPN 网关当前使用 PAM 身份验证。
我想要做的是创建不同的用户组并向这些组授予选择性子网访问权限。例如,以下可以是访问权限列表。
UserGroup1 can access 10.0.128.0/20
UserGroup2 can access 10.0.128.0/20 and 10.0.224.0/20
UserGroup3 can access 10.0.192.0/20
UserGroup4 can access NONE
为此,我对 OpenLDAP 进行了一些探索(非常少),但我不太清楚如何使用 LDAP 来实现这一点。理想情况下,用户应该使用他们的密钥连接到网关,并且根据他们的组,他们应该能够访问允许的子网。有人能告诉我设置此用户组权限的好方法是什么吗?
谢谢。
答案1
我有点惊讶,这个问题竟然没有得到任何答复。也许这种情况并不像我想象的那么重要。无论如何,我想到了一种使用 LDAP 和 PAM 用户组来实现这一点的方法。理想情况下,这应该通过 LDAP NisNetGroup 来完成,但很难弄清楚它的设置,而且我发现网上几乎没有帮助。我按照下面链接中提到的步骤进行操作,并做了一些修改。
如何在 Ubuntu 12.04 VPS 上使用 LDAP 对客户端计算机进行身份验证
我仍然对使用 NisNetGroup 感到好奇,因为这将是一个更干净、更安全的解决方案。如果您使用过它,请分享您的经验。