Tenho certeza de que alguns de vocês lidaram com o mesmo problema. Espero que alguém tenha uma resposta melhor do que o que estou fazendo agora.
Então, você tem alguns usuários em um diretório LDAP e um dia você diz "ei! Eu posso autenticar contra isso por SSH!" E isso é bom.
Então, um dia, você percebe que deseja que apenas determinados usuários entrem em uma máquina. Digamos que os desenvolvedores só possam entrar nas caixas de desenvolvimento, não em prod. Você faz algum googling e encontra pam_groupdn
que vai na sua configuração LDAP ( /etc/ldap.conf
) assim:
pam_groupdn CN=developers,OU=groups,DC=yourcompany
E, novamente, é bom. Você faz um outro grupo para prod, outro para QA, etc. Talvez um dia você tenha um segundo grupo de desenvolvedores de produtos, então eles terão seu próprio grupo. Seja o que for.
Então, um dia, você terá um servidor no qual tanto os desenvolvedores quanto o controle de qualidade precisam fazer login. Uh ... Acontece que pam_groupdn
não aceita vários valores. O que você faz? Bem, se você não está pensando muito, você diz "oh, eu apenas farei um grupo de desenvolvedores e QAs".
pam_groupdn CN=developers-and-QA,OU=groups,DC=yourcompany
Isso não é bom, mas tudo bem, certo?
Então, um dia, você recebe outro desenvolvedor e percebe que precisa adicioná-lo a 15 grupos, porque há developers-and-QA
, product1-and-product2
, developers-who-have-access-to-prod
e assim por diante. Porcaria.
Tem que haver uma maneira melhor de fazer isso, certo? Eu enviei um email para os desenvolvedores de pam_ldap
e eles disseram que, infelizmente, não há como fazer com que pam_groupdn
receba vários valores (sem interferir no código).
Alguém deseja compartilhar como eles gerenciam grupos de grupos no LDAP sem recorrer a copiar / colar?