1. Zuhause
  2. Frage und Antwort
  3. kerberos + ldap: Erstellen von Benutzerzugriff nur für ausgewählte Hosts

kerberos + ldap: Erstellen von Benutzerzugriff nur für ausgewählte Hosts

2016-07-10 12 views
0

Ich versuche zu verstehen kerberos & LDAP. Working openldap (Benutzerinformationen) & Kerberos (Authentifizierung) sind bereits installiert.kerberos + ldap: Erstellen von Benutzerzugriff nur für ausgewählte Hosts

Ich habe den UNIX-Benutzer (user01) mit "miglingtools" nach openldap migriert. Below Benutzer und Host-Prinzipien werden auch kadmin erstellt ..

  addprinc user01 
      addprinc -randkey host/host01.example.com 
      addprinc -randkey host/host02.example.com

Lasst uns sagen, ich habe 3-Hosts:

  host01.example.com 
      host02.example.com 
      host03.example.com

Nun, meine Frage ist: wie ich sicherstellen kann, dass "user01" kann nur auf host01 zugreifen & host02, NICHT host03?

Danke, Obaid

Quelle

2016-07-10 Obaid

+0

Wie wollen Sie Unix-Authentifizierung OpenLDAP zu binden erwarten? Und welche Art von "Unix" benutzt du übrigens? –

+0

Hallo, tatsächlich erkunde ich Kerberos vor der Implementierung auf Hadoop-Cluster. Im Hadoop-Cluster haben wir einige Randknoten; Ich möchte einige Benutzer erstellen, die nur 2 dieser Edge-Knoten anmelden können, um einige Befehlszeilenoperationen auf dem Hadoop-Cluster auszuführen. – Obaid

+0

Dann "explore" 'sssd' service und' authconfig' Befehl. Es ist viel einfacher, die Linux-Authentifizierung über LDAP zu verwalten, und dann müssen Benutzer ihre Kerberos-Tickets manuell mit "kinit" erstellen, bevor sie auf den Cluster zugreifen. –

Antwort

0

Scheint, wie wir etwas Abhilfe mit sssd tun können.

Wir können es tun, indem Sie "/etc/sssd/sssd.conf" bearbeiten und den Parameter "access_provider" verwenden.

In Anbetracht meiner Umgebung (OpenLDAP + krb5), zuerst habe ich versucht, mit folgenden Parametern Datei "/etc/sssd/sssd.conf":

[domain/default] 
access_provider = ldap 
ldap_access_filter = memberOf=cn=demo1,ou=Groups,dc=example,dc=com

Aber sobald ich diesen Parameter „setzen access_provider = LDAP "Alle LDAP-Benutzer konnten sich nicht anmelden.

Dann habe ich versucht, einfache Zugriffsmethode wie unten Parameter in der Datei „/etc/sssd/sssd.conf“:

access_provider = simple 
simple_allow_groups = demo1,demo2

Einfache Zugangsanbieter für mich gearbeitet.

Im obigen Beispiel demo1 & demo2 sind Gruppen, die nur auf openldap definiert sind und "access_provider = simple" funktioniert. Also ist es ein potentieller Kandidat als meine Lösung. Und ich benutze "id_provider = ldap".

Ich würde gerne andere Gedanken/Lösung darüber hören, so dass wir eine gute Lösung nicht nur für mich, sondern auch für andere mit ähnlichen Szenario finden können.

Danke, Obaid

Quelle

2016-07-19 04:04:26 Obaid

 Verwandte Themen

  • Keine verwandten Themen^_^