我们正在考虑将基于 LDAP 的身份和访问管理设置与 VMware vCloud 和 OpenStack Nova Compute VM 结合使用。VMware vCloud 和 OpenStack Nova Compute VM 是自助式的,最终用户(非管理员)可以根据需要创建 VM。
目前,我们有 ldap_access_filter 作为 ((memberOf=cn=System Adminstrators,ou=Groups,dc=example,dc=com)),它将允许该组中的任何人访问 LINUX / UNIX 机器。
由于最终用户不属于该组,因此他/她无法登录。我们希望自动将创建 VM 的最终用户添加到 ldap_access_filter。
此外,由于我们在 LDAP 中管理 Sudo 规则,我们希望为该 VM 和用户自动创建一条 Sudo 规则。
关于如何最好地设计它,您有什么想法吗?也许我们想得太多了,其实还有一个更简单的解决方案。
最终目标是,创建 VM 的最终用户除了系统管理员 LDAP 组之外还应该拥有对该 VM 的完全访问权限。
答案1
这实际上不是 IPA/SSSD 问题,而是取决于用户和机器的配置方式。查看 IDM 的 automember 命令,这可能会有所帮助。