6.5. 配置简单的访问提供程序规则
simple
访问提供程序会基于用户名或组允许或拒绝访问。它可让您限制对特定机器的访问。
例如,您可以使用 simple
访问供应商限制对特定用户或组的访问。即使他们针对配置的身份验证提供程序成功进行身份验证,也不允许其他用户或组登录。
先决条件
-
root
访问权限
步骤
-
打开
/etc/sssd/sssd.conf
文件: 将
access_provider
选项设置为simple
:[domain/your-domain-name] access_provider = simple
为用户定义访问控制规则。
-
要允许访问用户,请使用
simple_allow_users
选项。 若要拒绝用户访问,可使用
simple_deny_users
选项。重要如果您拒绝对特定用户的访问,则会自动允许对所有其他用户的访问。因此,允许访问特定用户通常被认为比拒绝对特定用户的访问更安全。
-
要允许访问用户,请使用
定义组的访问控制规则。选择以下任意一项:
-
若要允许访问组,可使用
simple_allow_groups
选项。 若要拒绝对组的访问,可使用
simple_deny_groups
选项。重要如果您拒绝访问特定组,则会自动允许访问其他任何组。因此,允许访问特定组通常被认为比拒绝对特定组的访问更安全。
例 6.3. 允许访问特定用户和组
以下示例允许访问 user1、user2 和 group1 的成员,同时拒绝对所有其他用户的访问:
[domain/your-domain-name] access_provider = simple simple_allow_users = user1, user2 simple_allow_groups = group1
-
若要允许访问组,可使用
将拒绝列表保留为空可能会导致允许任何人访问。
如果您要将一个可信 AD 用户添加到 simple_allow_users
列表中,请确保使用完全限定域名(FQDN)格式,例如 aduser@ad.example.com。由于不同域中的短名称可以相同,因此这防止出现访问控制配置的问题。
其他资源
-
您系统上的
sssd-simple
手册页