Wheel 그룹의 사용자가 LDAP 비밀번호를 사용하여 Sudo에 인증되도록 가상 머신(RHEL 8) 구성의 타당성을 조사합니다.
지금까지 내가 한 일은 LDAP 인증을 위해 sssd를 구성하고 이를 sudoers에 추가한 것입니다.
Defaults !targetpw
이렇게 하면 의도한 기능을 얻을 수 있지만 불행히도 허용되는 기능도 있습니다.어느VM에 로그인하는 데 사용되는 LDAP 사용자(CA 서명 SSH 인증서 사용) 로컬 계정을 가진 사용자만 허용하고 싶습니다.
/etc/pam.d/sshd
로컬 사용자를 상위에 요구하도록 구성하여 session required pam_localuser.so
로컬이 아닌 사용자를 차단할 수 있게 되었습니다 .
이를 달성하는 더 좋고/쉬운 방법이 있습니까?
요청한 대로 sssd.conf 예제(내 휴대폰에서 복사했습니다. 직장에서 스택 교환에 로그인할 수 없으므로 오타나 임의의 대문자 사용을 무시하십시오):
[sssd]
services = nss, pam
config_file_version = 2
domains = MYDOMAIN.LOCAL
[domain/MYDOMAIN.LOCAL]
id_provider = ldap
auth_provider = ldap
ldap_schema = ad
ldap_user_name = sAMAccountName
ldap_id_mapping = True
ldap_uri = ldaps://ldaps.example.com:636
ldap_search_base = OU=x,OU=y,DC=MY DOMAIN,DC=LOCAL
ldap_default_bind_dn = CN=service_user,OU=x,OU=y,DC=MY DOMAIN,DC=LOCAL
ldap_default_authtok_type = obfuscated_password
ldap_default_authtok = redacted
ldap_tls_cacert = /path/to/cacert
ldap_id_use_start_tls = True
cache_credentials = True
enumerate = True
ldap_user_object_class = user
ldap_group_name = sAMAccountName
ldap_user_object_class = user
ldap_group_object_class = group
access_provider = permit
sudo_provider = ldap
chpass_provider = ldap
autofs_provider = ldap
resolver_provider = ldap