como posso restringir tíquetes de serviço kerberos por grupo?

3

Eu tenho vários servidores Linux, todos configurados para permitir a autenticação do kerberos com o diretório ativo. Todos os outros atributos de usuário e grupo residem em um servidor de diretório separado (389). Eu sou capaz de fazer login e buscar informações do usuário (getent passwd, id, getent group, etc ...)

Agora, cada um desses servidores hospeda um aplicativo kerberizado (um por servidor) que os usuários podem acessar. Alguns desses aplicativos não usam o PAM. Existe uma maneira pela qual eu possa restringir certos usuários para acessar apenas alguns dos aplicativos / servidores, dependendo se eles são membros de um determinado grupo?

Minha ideia era de alguma forma encontrar uma maneira de restringir o AD, para que os tíquetes de serviço sejam emitidos apenas se o usuário for um membro de um determinado grupo do AD. Como alternativa, pode haver alguma configuração do lado do Linux (por exemplo, no krb5.conf) que me permite realizar verificações de autorização ou alguma forma de acionar a sessão do PAM e verificar a conta.

Obrigado

    
por Darren 04.07.2015 / 09:45

1 resposta

1

O Kerberos é destinado a autenticação , ou seja, provar quem é alguém. Não se destina a autorização , ou seja, descobrir o que alguém deve ser autorizado a fazer. Você precisará usar outra coisa. Parafraseando, o aplicativo deve dizer "Sim, eu acredito que você é quem você diz que é, mas você não pode acessar o que está tentando acessar".

Para sshd AllowGroups é uma boa escolha. Para aplicativos que permitem o uso de filtros LDAP, eles seriam ideais. Tudo depende dos recursos de autorização do aplicativo em questão.

    
por 11.07.2015 / 04:37

Tags