6.6. LDAP 액세스 필터를 적용하도록 SSSD 구성
access_provider
옵션이 /etc/sssd/sssd.conf
에 설정된 경우 SSSD는 지정된 액세스 공급자를 사용하여 시스템에 대한 액세스 권한이 부여된 사용자를 평가합니다. 사용 중인 액세스 공급자가 LDAP 공급자 유형의 확장인 경우 사용자가 시스템에 액세스할 수 있도록 허용하도록 LDAP 액세스 제어 필터를 지정할 수도 있습니다.
예를 들어 AD(Active Directory) 서버를 액세스 공급자로 사용하는 경우 지정된 AD 사용자로만 Linux 시스템에 대한 액세스를 제한할 수 있습니다. 지정된 필터와 일치하지 않는 다른 모든 사용자에게는 액세스 권한이 거부됩니다.
액세스 필터는 LDAP 사용자 항목에만 적용됩니다. 따라서 중첩된 그룹에서 이러한 유형의 액세스 제어를 사용하는 것이 작동하지 않을 수 있습니다. 중첩 그룹에 액세스 제어를 적용하려면 간단한
액세스 공급자 규칙 구성 을 참조하십시오.
오프라인 캐싱을 사용할 때 SSSD는 사용자의 최신 온라인 로그인 시도가 성공했는지 확인합니다. 가장 최근의 온라인 로그인 중에 성공적으로 로그인한 사용자는 액세스 필터와 일치하지 않더라도 오프라인에 로그인할 수 있습니다.
사전 요구 사항
-
루트
액세스
절차
-
/etc/sssd/sssd.conf
파일을 엽니다. [domain]
섹션에서 액세스 제어 필터를 지정합니다.-
LDAP의 경우
ldap_access_filter
옵션을 사용합니다. AD의 경우
ad_access_filter
옵션을 사용합니다. 또한ad_gpo_access_control
옵션을disabled
로 설정하여 GPO 기반 액세스 제어를 비활성화해야 합니다.예 6.4. 특정 AD 사용자에게 액세스 허용
예를 들어
admins
사용자 그룹에 속하고unixHomeDirectory
특성이 설정된 AD 사용자에게만 액세스를 허용하려면 다음을 사용합니다.[domain/your-AD-domain-name] access provider = ad [... file truncated ...] ad_access_filter = (&(memberOf=cn=admins,ou=groups,dc=example,dc=com)(unixHomeDirectory=*)) ad_gpo_access_control = disabled
-
LDAP의 경우
SSSD는 항목의 authorizedService 또는 host
속성에서 결과를 확인할 수도 있습니다. 실제로 사용자 항목 및 구성에 따라 MDASH LDAP 필터,
인증 서비스
및 호스트
MDASH 옵션을 모두 평가할 수 있습니다. ldap_access_order
매개 변수는 사용할 모든 액세스 제어 메서드를 나열합니다.
[domain/example.com] access_provider = ldap ldap_access_filter = memberOf=cn=allowedusers,ou=Groups,dc=example,dc=com ldap_access_order = filter, host, authorized_service
추가 리소스
-
sssd-ldap(5) 도움말
페이지 -
sssd-ad(5)
도움말 페이지