홈
제품
Red Hat Enterprise Linux
10
RHEL에서 인증 및 권한 부여 구성
5.6. LDAP 액세스 필터를 적용하도록 SSSD 구성

5.6. LDAP 액세스 필터를 적용하도록 SSSD 구성

access_provider 옵션이 /etc/sssd/sssd.conf 에 설정된 경우 SSSD는 지정된 액세스 공급자를 사용하여 시스템에 대한 액세스 권한을 부여하는 사용자를 평가합니다. 사용 중인 액세스 공급자가 LDAP 공급자 유형의 확장인 경우 사용자가 시스템에 대한 액세스를 허용하려면 일치하는 LDAP 액세스 제어 필터를 지정할 수도 있습니다.

예를 들어 AD(Active Directory) 서버를 액세스 공급자로 사용하는 경우 Linux 시스템에 대한 액세스를 지정된 AD 사용자만 제한할 수 있습니다. 지정된 필터와 일치하지 않는 다른 모든 사용자에게는 access denied가 있습니다.

참고

액세스 필터는 LDAP 사용자 항목에만 적용됩니다. 따라서 중첩 그룹에서 이러한 유형의 액세스 제어를 사용하는 것은 작동하지 않을 수 있습니다. 중첩 그룹에 액세스 제어를 적용하려면 간단한 액세스 공급자 규칙 구성을 참조하십시오.

중요

오프라인 캐싱을 사용하는 경우 SSSD는 사용자의 최신 온라인 로그인 시도가 성공했는지 확인합니다. 최근 온라인 로그인 중에 성공적으로 로그인한 사용자는 액세스 필터와 일치하지 않더라도 오프라인으로 로그인할 수 있습니다.

사전 요구 사항

루트 액세스

프로세스

/etc/sssd/sssd.conf 파일을 엽니다.
[domain] 섹션에서 액세스 제어 필터를 지정합니다.
- LDAP의 경우 ldap_access_filter 옵션을 사용합니다.
- AD의 경우 ad_access_filter 옵션을 사용합니다. 또한 ad_gpo_access_control 옵션을 disabled 로 설정하여 GPO 기반 액세스 제어를 비활성화해야 합니다.
  예 5.4. 특정 AD 사용자에게 액세스 허용
  예를 들어 admins 사용자 그룹에 속하고 unixHomeDirectory 속성이 설정된 AD 사용자에게만 액세스를 허용하려면 다음을 사용합니다.
  
  [domain/<ad_domain_name>] access provider = ad [... file truncated ...] ad_access_filter = (&(memberOf=cn=admins,ou=groups,dc=example,dc=com)(unixHomeDirectory=*)) ad_gpo_access_control = disabled

SSSD는 항목의 authorizedService 또는 host 특성을 통해 결과를 확인할 수도 있습니다. 실제로 모든 옵션 MDASH LDAP filter, authorizedService 및 host MDASH는 사용자 항목 및 구성에 따라 평가할 수 있습니다. ldap_access_order 매개변수는 사용할 모든 액세스 제어 메서드를 나열하고, 평가 방법으로 정렬됩니다.

[domain/example.com]
access_provider = ldap
ldap_access_filter = memberOf=cn=allowedusers,ou=Groups,dc=example,dc=com
ldap_access_order = filter, host, authorized_service

5.6. LDAP 액세스 필터를 적용하도록 SSSD 구성

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat 소개

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links