Пытаюсь узнать, как работает PAM, SSSD и nsswitch. Я думаю, что эти услуги очень полезны, хотя вся документация там немного устарела и "эзотерична".
Итак, я прошу помощи.
Вот как я настроил свой sssd.conf:
[sssd]
config_file_version = 2
services = pam,nss
domains = persefone.com
[pam]
[nss]
[autofs]
[domain/persefone.com]
id_provider = ldap
auth_provider = krb5
ldap_schema = rfc2307bis
enumerate = false
cache_credentials = false
case_sensitive = true
ldap_use_tokengroups = false
ldap_uri = ldap://192.168.10.10
ldap_search_base = dc=persefone,dc=com
ldap_tls_reqcert = allow
krb5_server = 192.168.10.10
krb5_realm = PERSEFONE.COM
access_provider = ldap
ldap_access_filter = (memberOf=cn=Administradores,ou=group,dc=persefone,dc=com)
default_shell = /bin/bash
Вот как выглядит мой nsswitch.conf:
passwd: compat sss
group: compat sss
hosts: files dns
networks: files dns
services: files
protocols: files
rpc: files
ethers: files
netmasks: files
netgroup: files nis
publickey: files
bootparams: files
automount: files nis
aliases: files
Я читал, что PAM устарел, но вся информация, которую я нахожу, касается SSSD, работающего вместе с PAM. Я думаю, что многого в этом не понимаю. Я буду продолжать пытаться учиться. Если вы знаете о некоторых хороших источниках, чтобы узнать о PAM, SSSD, NSSWITCH и этих службах, возможно, с некоторыми упражнениями, рекомендации приветствуются. Страницы руководства уже прочитаны (и не так понятны ...)
Спасибо. С уважением.
Вы можете использовать этот элемент конфигурации:
[domain/skmf.com]
simple_allow_groups = Administradores, linux_admins
Вы можете использовать значения из sssd-простой (5) который включает в себя simple_allow_groups. Вот как моя среда ограничивает доступ к группам.
Убедитесь, что вы также разрешили эту группу в sshd_config. Этот список разделен пробелами, поэтому для групп с пробелами в именах вам может потребоваться поэкспериментировать, поэтому избегайте их или экранируйте пробел в имени группы с помощью обратной косой черты.
AllowGroups Administradores linux_admins