サーバーとユーザーの数が増えており、ユーザーアカウントを管理するために中央データベースを採用したいと思います。 OpenLDAPを考えていますが、質問があります。
LDAPで特定のユーザーが特定のサーバーにのみアクセスできるように制限することは可能ですか?たとえば、サーバーA、B、C、D、E、およびユーザー1〜20があります。ユーザー1-5がサーバーBとDにアクセスでき、ユーザー6-10がサーバーA、B、Eにアクセスでき、ユーザー11-20がすべてのサーバーにアクセスできるとします。 LDAPまたは他の中央データベースでこれを強制できますか?
LDAPよりも優れたソリューションはありますか?また、ユーザーのSSHキーを一元管理したいと思います。 LDAPにこれを実行するスキーマがあることを知っていますが、この状況にはより良い選択肢がありますか?
安否挨拶
カミール
ベストアンサー1
理論的には、すべてのデータベースバックエンドを使用してカスタムNSS / PAMと統合できますが、既製のソリューションがあるため、LDAPサーバーを使用して統合するのが正しいソリューションです。
私は答えを繰り返しますopenldapサーバーに接続されている特定のクライアントコンピュータへのユーザーおよび/またはグループアクセスをどのように許可しますか?:
Æ-DIR
これは、完全に無料のソフトウェアに基づく私のソリューションが実行するように設計されたものとほぼ同じです。
デフォルトのシステム/サービスはサービスグループのメンバーであり、そのサービスグループに対するログイン権限を持つユーザーグループを定義できます。
これは、OpenLDAP ACL、特にログインに必要なユーザー属性を使用して実装された読み取りアクセス権をユーザーとグループに付与する間接的な方法です。一般的な誤解を避けるためにアクセス権を変更するには、LDAPエントリを維持するだけです。 OpenLDAP ACLは静的です。
正直なところ、LDAPクライアントで設定する必要があるものがあります。システム資格情報(バインドDNとパスワード、またはTLSクライアント証明書)。
アクセス制御の要件を満たすために概念を理解し、データをモデル化するには時間がかかります。そして、これがアクセス制御に関するすべての希望を満たしていないことを確認してください。
PS:ホストアクセス制御に基づく大規模な設定を持っている人の意見を聞きたいです。ネットグループ変換する自動化された移行ツールを作成することが可能かどうかを知りたいからです。ネットグループÆ-DIRの地図aeサービスグループ。
リバティIPA
リバティIPA同様の目標を持つこの目標を達成するために、HBACポリシーと他のいくつかのポリシーを実装します。私の理解では、使用する必要がありますSSDIPAバックエンドで完全な機能セットを使用してください。SSD政策施行点だ。
申し訳ありません。私はそのオンライン文書についてよく知りません。FreeIPAドキュメントの概要。