サーバーとユーザーの数が増えており、ユーザーアカウントを管理するために中央データベースを採用したいと思います。 OpenLDAPを考えていますが、質問があります。
LDAPで特定のユーザーが特定のサーバーにのみアクセスできるように制限することは可能ですか?たとえば、サーバーA、B、C、D、E、およびユーザー1〜20があります。ユーザー1-5がサーバーBとDにアクセスでき、ユーザー6-10がサーバーA、B、Eにアクセスでき、ユーザー11-20がすべてのサーバーにアクセスできるとします。 LDAPまたは他の中央データベースでこれを強制できますか?
LDAPよりも優れたソリューションはありますか?また、ユーザーのSSHキーを一元管理したいと思います。 LDAPにこれを実行するスキーマがあることを知っていますが、この状況にはより良い選択肢がありますか?
安否挨拶
カミール
答え1
理論的には、すべてのデータベースバックエンドを使用してカスタムNSS / PAMと統合できますが、既製のソリューションがあるため、LDAPサーバーを使用して統合するのが正しいソリューションです。
私は答えを繰り返しますopenldapサーバーに接続されている特定のクライアントコンピュータへのユーザーおよび/またはグループアクセスをどのように許可しますか?:
Æ-DIR
これは、完全に無料のソフトウェアに基づく私のソリューションが実行するように設計されたものとほぼ同じです。
デフォルトのシステム/サービスはサービスグループのメンバーであり、そのサービスグループに対するログイン権限を持つユーザーグループを定義できます。
これは、OpenLDAP ACL、特にログインに必要なユーザー属性を使用して実装された読み取りアクセス権をユーザーとグループに付与する間接的な方法です。一般的な誤解を避けるためにアクセス権を変更するには、LDAPエントリを維持するだけです。 OpenLDAP ACLは静的です。
正直なところ、LDAPクライアントで設定する必要があるものがあります。システム資格情報(バインドDNとパスワード、またはTLSクライアント証明書)。
アクセス制御の要件を満たすために概念を理解し、データをモデル化するには時間がかかります。そして、これがアクセス制御に関するすべての希望を満たしていないことを確認してください。
PS:ホストアクセス制御に基づく大規模な設定を持っている人の意見を聞きたいです。ネットグループ変換する自動化された移行ツールを作成することが可能かどうかを知りたいからです。ネットグループÆ-DIRの地図aeサービスグループ。
リバティIPA
リバティIPA同様の目標を持つこの目標を達成するために、HBACポリシーと他のいくつかのポリシーを実装します。私の理解では、使用する必要がありますSSDIPAバックエンドで完全な機能セットを使用してください。SSD政策施行点だ。
申し訳ありません。私はそのオンライン文書についてよく知りません。FreeIPAドキュメントの概要。
答え2
もちろん、LDAPには他のすべてのユーザーのためのさまざまなUnixグループを含めることができます。ただし、アクセス制限は通常SSH(またはPAM)プロファイルで行われるため、各システムの対応するプロファイル(またはSSHキー)を管理できるものも必要です。別の機械。構成管理ソフトウェアはこれを行うことができ、ユーザー管理とグループがLDAPを介して実行されている場合はLDAPの使用を置き換えることができます。すべてをLDAPに入れることもできますが、そうすることで、ハイブリッドLDAP /構成管理よりも収益が低くなるか、LDAP全体の構成管理設定がない可能性があります。
ここに「より良い」ものはありません。必要な複雑さをLDAPに適用することとその利点/問題の間の妥協点にすぎません。ダッシュボード...面白いです!)、構成管理と利点/問題、または両方のブレンド...