有人使用sssd进行access.conf和netgroup身份验证吗？

Question

我希望能够根据用户的LDAP网络组成员身份(通过ssh)对特定的主机组进行身份验证。LDAP服务器是dsee7。发行版为OEL6.5，以openldap为客户。

我们唯一不想使用LDAP进行身份验证的帐户是root。

sssd.conf看起来是这样的：

[sssd]
config_file_version = 2
services = nss,pam,autofs

domains = default
[nss]
filter_groups = root
filter_users = root
reconnection_retries = 3
entry_cache_timeout = 300
entry_cache_nowait_percentage = 75

[pam]


[domain/default]
auth_provider = ldap
ldap_id_use_start_tls = True
chpass_provider = ldap
cache_credentials = True
ldap_search_base = dc=e-durp,dc=com
id_provider = ldap
ldap_uri = ldaps://lvl1.lvs01.edurp.com/ ldaps://lvl1.lvs01.edurp.com/
ldap_tls_cacertdir = /etc/openldap/cacerts

/etc/openldap/ldap.conf如下所示：

URI ldaps://ldap.edurp.com/ ldaps://ldap1.edurp.com ldaps://ldap2.edurp.com
BASE dc=edurp,dc=com
TLS_CACERTDIR /etc/openldap/cacerts
TLS_CACERT /etc/openldap/cacerts/ldap_ca.cert
TLS_REQCERT never

nsswitch.conf看起来是这样的：

passwd:     files compat
shadow:     files compat
passwd_compat: sss
shadow_compat: sss
group:      files sss
hosts:      files dns
bootparams: nisplus [NOTFOUND=return] files
ethers:     files
netmasks:   files
networks:   files
protocols:  files
rpc:        files
services:   files sss
netgroup:   sss files
publickey:  nisplus
automount:  files ldap
aliases:    files nisplus

和/etc/pan.d/system-auth如下：

auth        required      pam_env.so
auth        sufficient    pam_fprintd.so
auth        sufficient    pam_unix.so nullok try_first_pass
auth        requisite     pam_succeed_if.so uid >= 500 quiet
auth        sufficient    pam_sss.so use_first_pass
auth        required      pam_deny.so

account     required      pam_unix.so broken_shadow
account     sufficient    pam_localuser.so
account     sufficient    pam_succeed_if.so uid < 500 quiet
account     [default=bad success=ok user_unknown=ignore] pam_sss.so
account     required      pam_permit.so

password    requisite     pam_cracklib.so try_first_pass retry=3 type=
password    sufficient    pam_unix.so md5 shadow nullok try_first_pass use_authtok
password    sufficient    pam_sss.so use_authtok
password    required      pam_deny.so

session     optional      pam_keyinit.so revoke
session     required      pam_limits.so
session     [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session     required      pam_unix.so
session     optional      pam_sss.so

因此，我尝试向/etc/security/ adding . like添加一个netgroup，如下所示：

#- : ALL : ALL
-:@eeederp: ALL

重新启动sssd以防万一。。。

我的用户属于netgroup eeederp，仍然能够使用他的LDAP密码进入。

任何线索都会很感激的。

Answer 1

我已经成功地使用Netgroups对AD进行了Red 6身份验证。我试图让它在一个旧的Sun服务器上进行身份验证，但没有运气。我可以看到netgroup，我可以看到有"getent netgroup{ netgroup}“的用户，我可以将它转到用户。但是，当我尝试登录时，它不起作用。

我可以从我的AD身份验证中告诉您的是，您的netgroup语句与您想要的正好相反。当你以一个-它的意思是不允许他们登录。尝试将其切换为+的意思，请允许此netgroup中的用户登录。

还可以使用getent命令来检查是否可以明显地看到用户和netgroup。getent passwd {username} getent netgroup { netgroup}

记住，getent还会查看本地文件(如nsswitch.conf中所定义的)以获取这些信息，因此确保这些信息只能通过LDAP获得。

希望这能帮上忙

丹

Answer 2

不是pam方面的专家，但是如果您正在使用access.conf，则需要引用pam_access.so。也许:帐户所需的pam_access.so

测试时，只需打开根外壳即可。我用一个糟糕的pam编辑成功地锁定了根用户。

Answer 3

如果您像上面所声称的那样使用SSSD，那么nsswitch.conf条目应该如下所示，netrgoups "compat模式“才能工作

/etc/nsswitch.conf

passwd: compat
passwd_compat: sss

您的/etc/密码应该有以下内容

-@eeederp

不

-@eeederp:x:::::

若要禁用该netgroup @eeederp中的任何用户以访问服务器，请执行以下操作。不知道为什么access.conf不起作用。不过，这是可行的。