Esta não é realmente uma questão IPA / SSSD, mas depende de como os usuários e as máquinas são provisionados. Confira o comando automember do IDM, isso pode ajudar.
Estamos pensando em usar a configuração de gerenciamento de acesso e identidade baseada em LDAP com VMs VMware vCloud e OpenStack Nova Compute. As VMs VMware vCloud e OpenStack Nova Compute são autoatendidas, pois os usuários finais (não administradores) podem criar as VMs conforme necessário.
Atualmente, temos ldap_access_filter como ((memberOf = cn = Administradores do Sistema, ou = Grupos, dc = exemplo, dc = com)) que permitirá acesso a uma máquina LINUX / UNIX para quem estiver nesse grupo.
Como o usuário final não faz parte desse grupo, ele não pode fazer o login. Gostaríamos de adicionar automaticamente o usuário final que criou a VM ao ldap_access_filter.
Além disso, como gerenciamos as regras do Sudo no LDAP, gostaríamos de criar automaticamente uma regra do Sudo para essa VM e o usuário para a regra.
Quaisquer pensamentos sobre a melhor forma de projetar isso? Talvez estejamos pensando demais nisso, e há uma solução mais simples.
O objetivo final é que o usuário final que cria a VM tenha acesso total a essa VM, além do Grupo LDAP do Administrador do Sistema.
Esta não é realmente uma questão IPA / SSSD, mas depende de como os usuários e as máquinas são provisionados. Confira o comando automember do IDM, isso pode ajudar.
Tags sudo ldap sssd freeipa openstack-nova