У меня есть несколько частных подсетей в AWS VPC (виртуальное частное облако). Например. 10.0.128.0/20, 10.0.192.0/20, 10.0.224.0/20 и т. Д. У меня есть шлюз OpenVPN на VPC, который позволяет пользователям подключаться к этим частным подсетям. Этот шлюз OpenVPN в настоящее время использует аутентификацию PAM.
Я пытаюсь создать разные группы пользователей и предоставить этим группам разрешения на выборочный доступ к подсети. Например. следующим может быть список прав доступа.
UserGroup1 can access 10.0.128.0/20
UserGroup2 can access 10.0.128.0/20 and 10.0.224.0/20
UserGroup3 can access 10.0.192.0/20
UserGroup4 can access NONE
Я немного (очень мало) исследовал OpenLDAP для этой цели, но мне не очень понятно, как это сделать с помощью LDAP. В идеале пользователи должны использовать свои ключи для подключения к шлюзу, и, в зависимости от их группы, они должны иметь доступ к разрешенным подсетям. Может кто-нибудь сказать мне, как лучше всего настроить разрешения этой группы пользователей?
Спасибо.
Я немного удивлен, что не получил ни одного ответа на этот вопрос. Может быть, этот сценарий не так актуален, как я думал. Во всяком случае, я нашел способ добиться этого с помощью групп пользователей LDAP и PAM. В идеале это должно быть сделано через LDAP NisNetGroup, но сложнее определить настройки для этого, и я нашел очень мало помощи в сети. Я выполнил шаги, упомянутые в приведенной ниже ссылке, с некоторыми изменениями.
Как аутентифицировать клиентские компьютеры с помощью LDAP на Ubuntu 12.04 VPS
Мне все еще интересно использовать NisNetGroup, поскольку это будет более чистое и безопасное решение этой проблемы. Пожалуйста, поделитесь своим опытом, если вы работали с этим.