У меня есть несколько серверов Linux, настроенных для разрешения аутентификации Kerberos с помощью активного каталога. Все остальные атрибуты пользователей и групп находятся на отдельном сервере каталогов (389). Я могу войти в систему и получить информацию о пользователе (getent passwd, id, getent group и т. Д.)
Теперь на каждом из этих серверов размещено керберизованное приложение (по одному на сервер), к которому пользователи могут получить доступ. Некоторые из этих приложений не используют PAM. Есть ли способ, с помощью которого я могу ограничить определенных пользователей доступом только к некоторым приложениям / серверам в зависимости от того, являются ли они членами определенной группы?
Моя идея заключалась в том, чтобы каким-то образом ограничить AD, чтобы билеты на обслуживание выдавались только в том случае, если пользователь является членом определенной группы AD. В качестве альтернативы может быть некоторая конфигурация со стороны Linux (пример в krb5.conf), которая позволяет мне выполнять проверки авторизации или каким-либо образом запускать сеанс PAM и проверки учетной записи.
Спасибо
Kerberos предназначен для аутентификация, то есть доказывать, кто кто-то Он не предназначен для разрешение, т.е. выяснение того, что кому-то следует разрешить делать. Вам нужно будет использовать что-нибудь еще. Перефразируя, приложение должно сказать: «Да, я верю, что вы тот, кем себя называете, но вы не можете получить доступ к тому, что пытаетесь получить».
Для sshd AllowGroups хороший выбор. Для приложений, которые позволяют использовать фильтры LDAP, это было бы идеально. Все зависит от особенностей авторизации рассматриваемого приложения.