서버와 사용자 수가 늘어나고 있으며 사용자 계정을 관리하기 위해 중앙 데이터베이스를 채택하고 싶습니다. OpenLDAP를 고려하고 있는데 질문이 있습니다.
LDAP에서 특정 사용자가 특정 서버에만 액세스하도록 제한하는 것이 가능합니까? 예를 들어 서버 A, B, C, D, E와 사용자 1~20이 있습니다. 사용자 1-5가 서버 B와 D에 액세스할 수 있고, 사용자 6-10이 서버 A, B, E에 액세스할 수 있으며, 사용자 11-20이 모든 서버에 액세스할 수 있다고 가정합니다. LDAP나 다른 중앙 데이터베이스에서 이를 강제할 수 있습니까?
LDAP보다 더 나은 솔루션이 있습니까? 또한 사용자의 SSH 키를 중앙에서 관리하고 싶습니다. LDAP에 이 작업을 수행하는 스키마가 있다는 것을 알고 있지만 이 상황에 대한 더 나은 대안이 있습니까?
안부 인사
카밀
답변1
이론적으로는 모든 데이터베이스 백엔드를 사용하여 사용자 정의 NSS/PAM과 통합할 수 있지만 기성 솔루션이 있으므로 LDAP 서버를 사용하여 통합하는 것이 올바른 솔루션입니다.
나는 대답을 반복한다openldap 서버에 연결된 특정 클라이언트 컴퓨터에 대한 사용자 및/또는 그룹 액세스를 어떻게 허용합니까?:
Æ-DIR
이것은 완전히 무료 소프트웨어를 기반으로 하는 내 솔루션이 수행하도록 설계된 것과 거의 같습니다.
기본 시스템/서비스는 서비스 그룹의 구성원이며 해당 서비스 그룹에 대한 로그인 권한이 있는 사용자 그룹을 정의할 수 있습니다.
이는 OpenLDAP ACL, 특히 로그인에 필요한 사용자 속성을 사용하여 구현된 읽기 액세스 권한을 사용자 및 그룹에 부여하는 간접적인 방법입니다. 일반적인 오해를 피하려면 액세스 권한을 변경하려면 LDAP 항목만 유지하면 됩니다. OpenLDAP ACL은 정적입니다.
솔직히 LDAP 클라이언트에서 구성해야 할 것이 하나 있습니다. 시스템 자격 증명(바인드 DN 및 비밀번호 또는 TLS 클라이언트 인증서)입니다.
액세스 제어 요구 사항을 충족하기 위해 개념을 이해하고 데이터를 모델링하는 데는 시간이 걸립니다. 그리고 이것이 액세스 제어에 관한 귀하의 모든 희망 사항을 충족시키지는 않을지 확인하십시오.
추신: 호스트 액세스 제어를 기반으로 하는 대규모 설정을 갖고 있는 사람의 의견을 듣고 싶습니다.넷그룹변환하는 자동화된 마이그레이션 도구를 작성하는 것이 가능한지 알고 싶기 때문입니다.넷그룹Æ-DIR에 대한 지도ae 서비스 그룹.
리버티 IPA
리버티 IPA비슷한 목표를 가지고 이 목표를 달성하기 위해 HBAC 정책과 기타 여러 정책을 구현합니다. 내 이해에서 당신은 사용해야합니다SSDIPA 백엔드에서 전체 기능 세트를 사용하세요.SSD정책 시행 지점이다.
죄송합니다. 저는 해당 온라인 문서에 대해 잘 알지 못합니다.FreeIPA 문서 개요.
답변2
물론 LDAP에는 모든 다른 사용자를 위한 다양한 Unix 그룹이 포함될 수 있습니다. 그러나 액세스 제한은 일반적으로 SSH(또는 PAM) 프로필에서 수행되므로 각 시스템의 해당 프로필(또는 SSH 키)을 관리할 수 있는 무언가도 필요합니다. 별도의 기계. 구성 관리 소프트웨어는 이를 수행할 수 있으며, 사용자 관리 및 그룹이 LDAP를 통해 수행되는 경우 LDAP 사용을 대체할 수 있습니다. 모든 것을 LDAP에 넣을 수도 있지만 그렇게 하면 하이브리드 LDAP/구성 관리보다 수익이 낮거나 LDAP 전체 구성 관리 설정이 없을 가능성이 높습니다.
여기에 "더 나은" 것은 없습니다. 필요한 복잡성을 LDAP에 적용하는 것과 그 이점/문제 사이의 절충안일 뿐입니다(누군가가 기업 LDAP를 녹인 기업 LDAP 웹사이트를 지적한 후 아무도 로그인하거나 위키를 볼 수 없었습니다. 또는 확인할 수 없었습니다). 대시보드...재미있습니다!), 구성 관리 및 이점/문제, 또는 둘 다의 혼합...