WheelグループのユーザーがLDAPパスワードを使用してSudoに認証されるように、仮想マシン(RHEL 8)構成の妥当性を調べます。
これまでに私がしたことは、LDAP認証用にsssdを設定し、それをsudoersに追加したことです。
Defaults !targetpw
これにより、意図した機能が得られますが、残念ながら許容される機能もあります。どのVMにログインするために使用されるLDAPユーザー(CA署名SSH証明書を使用)ローカルアカウントを持つユーザーのみを許可したいと思います。
/etc/pam.d/sshdローカルユーザーを親に要求するように構成することで、ローカル以外のsession required pam_localuser.soユーザーをブロックできるようになりました。
これを達成するより良い/簡単な方法はありますか?
要求どおりにsssd.confの例(私の携帯電話からコピーしました。職場でスタック交換にログインできないため、太田やランダムな大文字の使用を無視してください):
[sssd]
services = nss, pam
config_file_version = 2
domains = MYDOMAIN.LOCAL
[domain/MYDOMAIN.LOCAL]
id_provider = ldap
auth_provider = ldap
ldap_schema = ad
ldap_user_name = sAMAccountName
ldap_id_mapping = True
ldap_uri = ldaps://ldaps.example.com:636
ldap_search_base = OU=x,OU=y,DC=MY DOMAIN,DC=LOCAL
ldap_default_bind_dn = CN=service_user,OU=x,OU=y,DC=MY DOMAIN,DC=LOCAL
ldap_default_authtok_type = obfuscated_password
ldap_default_authtok = redacted
ldap_tls_cacert = /path/to/cacert
ldap_id_use_start_tls = True
cache_credentials = True
enumerate = True
ldap_user_object_class = user
ldap_group_name = sAMAccountName
ldap_user_object_class = user
ldap_group_object_class = group
access_provider = permit
sudo_provider = ldap
chpass_provider = ldap
autofs_provider = ldap
resolver_provider = ldap