Мы думаем об использовании настройки управления идентификацией и доступом на основе LDAP с виртуальными машинами VMware vCloud и OpenStack Nova Compute. Виртуальные машины VMware vCloud и OpenStack Nova Compute являются самообслуживаемыми, поскольку конечные пользователи (не администраторы) могут создавать виртуальные машины по мере необходимости.
В настоящее время у нас есть ldap_access_filter как ((memberOf = cn = System Adminstrators, ou = Groups, dc = example, dc = com)), который разрешит доступ к машине LINUX / UNIX любому, кто находится в этой группе.
Поскольку конечный пользователь не входит в эту группу, он / она не может войти в систему. Мы хотели бы автоматически добавить конечного пользователя, создавшего виртуальную машину, в ldap_access_filter.
Кроме того, поскольку мы управляем правилами Sudo в LDAP, мы хотели бы, чтобы автоматически создавалось правило Sudo для этой виртуальной машины и пользователя для этого правила.
Есть мысли о том, как лучше всего это спроектировать? Может быть, мы слишком много думаем, и есть более простое решение.
Конечная цель состоит в том, чтобы конечный пользователь, создающий виртуальную машину, имел полный доступ к этой виртуальной машине в дополнение к группе LDAP системных администраторов.
На самом деле это не вопрос IPA / SSSD, но зависит от того, как настроены пользователи и машины. Ознакомьтесь с командой IDM automember, это может помочь.