我有多个Linux服务器全部configuration为允许活动目录的Kerberos身份validation。 所有其他用户和组属性驻留在单独的目录服务器(389)中。 我能够login和获取用户信息(getent passwd,id,getent group等)
现在,每个服务器都有一个用户可以访问的kerberized应用程序(每个服务器一个)。 其中一些应用程序不使用PAM。 有没有办法限制某些用户只能访问某些应用程序/服务器,具体取决于他们是否是特定组的成员?
我的想法是以某种方式find限制AD的方法,以便只有当用户是特定AD组的成员时才能发出服务票据。 另外也可以从Linux的一些configuration(例如krb5.conf中的例子),允许我执行授权检查或者一些如何触发PAM会话和帐户检查。
谢谢
Kerberos的意思是authentication ,即certificate谁是谁。 这不是为了授权 ,也就是搞清楚什么人应该被允许去做。 你需要使用别的东西。 换句话说,应用程序应该说:“是的,我相信你是你说的那个人,但是你不能访问你想要访问的东西。”
对于sshd AllowGroups是个不错的select。 对于允许使用LDAPfilter的应用程序,这将是理想的。 这完全取决于相关应用程序的授权function。