我正在尝试了解 PAM、SSSD 和 nsswitch 的工作原理。我认为这些服务非常有用,尽管那里的所有文档都有些过时且“深奥”。
所以我来这里寻求帮助。
这是我配置 sssd.conf 的方式:
[sssd]
config_file_version = 2
services = pam,nss
domains = persefone.com
[pam]
[nss]
[autofs]
[domain/persefone.com]
id_provider = ldap
auth_provider = krb5
ldap_schema = rfc2307bis
enumerate = false
cache_credentials = false
case_sensitive = true
ldap_use_tokengroups = false
ldap_uri = ldap://192.168.10.10
ldap_search_base = dc=persefone,dc=com
ldap_tls_reqcert = allow
krb5_server = 192.168.10.10
krb5_realm = PERSEFONE.COM
access_provider = ldap
ldap_access_filter = (memberOf=cn=Administradores,ou=group,dc=persefone,dc=com)
default_shell = /bin/bash
我的 nsswitch.conf 如下所示:
passwd: compat sss
group: compat sss
hosts: files dns
networks: files dns
services: files
protocols: files
rpc: files
ethers: files
netmasks: files
netgroup: files nis
publickey: files
bootparams: files
automount: files nis
aliases: files
我读到 PAM 已被弃用,但我找到的所有信息都是关于 SSSD 与 PAM 协同工作的。我认为有很多事情我不明白。我会继续努力学习。如果您知道一些关于 PAM、SSSD、NSSWITCH 和这些服务的良好资源,也许还有一些练习,欢迎推荐。手册页已经读过了(但不太明白……)
谢谢。问候。
答案1
您可以使用此配置项:
[domain/skmf.com]
simple_allow_groups = Administradores, linux_admins
您可以使用以下值sssd-简单(5)其中包括这个 simple_allow_groups。这就是我的环境限制对组的访问的方式。
您需要确保在 sshd_config 中也允许该组。此列表以空格分隔,因此对于名称中带有空格的组,您可能需要进行实验以避免使用它们,或者使用反斜杠转义组名称中的空格。
AllowGroups Administradores linux_admins