我们正在考虑使用基于LDAP的身份和访问pipe理设置与VMware vCloud和OpenStack Nova计算虚拟机。 VMware vCloud和OpenStack Nova计算虚拟机是自助服务的,因为最终用户(非pipe理员)可以根据需要创build虚拟机。
目前,我们将ldap_access_filter设置为((memberOf = cn = System Adminstrators,ou = Groups,dc = example,dc = com)),以允许访问LINUX / UNIX机器的人员。
由于最终用户不属于该组,所以他/她无法login。 我们想自动将创build虚拟机的最终用户添加到ldap_access_filter。
另外,由于我们在LDAP中pipe理Sudo规则,所以我们希望自动为该VM创build一个Sudo规则,并使用户为该规则创build一个Sudo规则。
任何想法如何最好地devise这个? 也许我们正在过度思考这个问题,并且有一个更简单的解决scheme。
最终目标是除了系统pipe理员LDAP组以外,创build虚拟机的最终用户还应具有对该虚拟机的完全访问权限。
这不是真正的IPA / SSSD问题,而是取决于如何configuration用户和机器。 查看IDM的automember命令,这可能会有所帮助。