Como permitir que apenas usuários e / ou grupos acessem determinadas máquinas clientes conectadas a um servidor openldap?

Eu não acho que você conseguirá fazer isso sem alterar as configurações do cliente. No entanto, depois que todos os computadores cliente estiverem configurados, você poderá gerenciar isso a partir do servidor LDAP.

Uma maneira de conseguir isso é:

1. Escreva um arquivo access_ldap.conf que contenha isso e coloque /etc/security :

   +:root:ALL
   -:ALL EXCEPT (the_group_that_has_access):ALL
   

   Existe um arquivo access.conf em /etc/security/ , mas geralmente é incluído em alguns conjuntos de regras do sistema em /etc/pam.d , por isso é mais difícil editá-lo, já que é necessário garantir que os daemons do sistema "façam login" Assim, você não pode bloquear todos, exceto um único grupo, sem escrever regras para os usuários do sistema. Ter um arquivo separado é menos incômodo.

   Observe que os parênteses em torno do nome do grupo indicam que o nome é, na verdade, um nome de grupo ( pam_access.so procura um grupo se não encontrar o usuário e, por causa disso, os parênteses podem ser chamados de supérfluos, mas esta é a maneira "adequada" de se referir a grupos).

   Além disso, a primeira linha concede acesso à raiz em qualquer caso. Você pode querer adicionar outros usuários / grupos também, pois quem não estiver listado neste arquivo será bloqueado pela segunda linha.

2. Você deseja que login e ssh favoreçam essa nova configuração, mas outros serviços devem funcionar como costumavam ser. Para isso, edite os arquivos login e sshd em /etc/pam.d para conter esta linha:

   account  required     pam_access.so accessfile=/etc/security/access_ldap.conf
   

Desta forma, apenas membros do grupo em questão poderão acessar o computador via ssh ou login. Os membros do grupo e, portanto, o acesso aos computadores, podem ser gerenciados no LDAP.

Æ-DIR

Esse é basicamente o caso de uso para o qual a minha própria solução foi criada, totalmente baseada em software livre:

Æ-DIR - Diretório de Entidades Autorizadas

Principalmente os sistemas / serviços são membros de grupos de serviços e você define quais grupos de usuários têm direito de login para o grupo de serviços.

É um pouco indireto implementado com as ACLs do OpenLDAP que concedem acesso de leitura a usuários e grupos e principalmente atributos de usuário necessários para o login. Para evitar um mal-entendido comum: você apenas manterá entradas LDAP para alterar os direitos de acesso; as ACLs do OpenLDAP são estáticas.

Para ser honesto, há uma coisa que você precisa configurar no cliente LDAP: Uma credencial do sistema, bind-DN e senha ou certificado de cliente TLS.

Levará algum tempo para entender os conceitos e modelar os dados para que correspondam aos seus requisitos de controle de acesso. E tenho certeza que não irá cumprir todos os seus desejos em relação ao controle de acesso.

PS: Gostaria de saber de pessoas com grandes configurações com controle de acesso ao host com base em netgroups porque gostaria de descobrir se seria possível criar uma ferramenta de migração automática para converter mapas netgroup em aeSrvGroup de Æ-DIR .

FreeIPA

FreeIPA tem metas semelhantes e implementam as chamadas políticas do HBAC e mais algumas para conseguir isso. Pelo que entendi, você teria que usar o sssd com o back-end do IPA para usar o conjunto completo de recursos. sssd é o ponto de aplicação da política.

Desculpe, não estou familiarizado o suficiente com seus documentos on-line e, portanto, não tenho bons links de documentação à disposição além dos documentos do FreeIPA visão geral .