realmd - Permitir grupo AD

1

Eu tenho uma máquina do CentOS que conectei com sucesso a um Windows AD. Eu posso fazer login ssh com qualquer usuário existente no AD no cliente CentOS. Agora quero permitir que apenas um grupo AD específico faça o login (admins), mas não está funcionando. Primeiro, estou desativando o login com

realm deny -R mydomain.local -a

Funciona. Segundo, eu quero permitir um grupo específico, que é, vindo de AD:

distinguishedName: CN=Admins,OU=Users-All,OU=Users,DC=mydomain,DC=local 

Eu usei duas abordagens, mas nenhuma delas parece funcionar:

realm permit -g Admins

realm permit -g 'mydomain.local\Users\Users-All\Admins'

Desde que eu sou muito novo no AD com o linux, alguma sugestão do que estou fazendo errado?

Obrigado!

    
por Oweia 20.02.2017 / 13:32

2 respostas

0

Encontrou o problema. Usando o ad_access_filter em sssl.conf, o computador linux precisa ter as permissões para ler o objeto do usuário no AD. Depois de conversar com nosso administrador do sistema, ele concedeu a permissão e agora funciona ...:)

    
por 27.02.2017 / 14:11
0

Eu consegui isso editando /etc/security/pam_winbind.conf

require_membership_of = S-1-5-21-361205316-2009527927-3895120483-1111,localgroup1

você pode descobrir a string S-1 -... usando wbinfo -G "User all"

    
por 20.02.2017 / 16:31