LINUX.ORG.RU
ФорумAdmin

Linux и AD - настройка доступа к хостам

 ,


0

1

Есть четыре Linux серверов (A,B,C,D) в которых аутентификация/авторизация проходит через учетные данные хранящиеся в Active Directory(AD). Не могу настроить доступ к Linux серверам! То есть нужно сделать следующее: пользователю user1 разрешить доступ к Linux серверам А и С, а к серверам B и D запретить...

В AD, в учетной записи пользователя user1 задаю что ему разрешено ходить ТОЛЬКО на сервера А и С(В оснастке «Active Directory – пользователи и компьютеры» --> захожу в свойства учетной записи пользователя, далее --> Вкладка «Учетная запись», далее --> жму кнопку «Вход на...» и указываю сервера (А,С), на которые пользователь может выполнять вход), но правило не срабатывает, пользователь по прежнему имеет доступ ко всем (A,B,C,D) серверам...

Как запретить доступ?


конкретными запретами на общие ресурсы на сервере.
Альтернативный вариант, насколько я в курсе, отсутствует.

Atlant ★★★★★ ()
Ответ на: комментарий от anonymous

Подключаться удаленно по SSH к Linux-серверам используя учетные данные из AD.

SSH про AD знает ( sssd ). AD знает компьютер с SSH. Как запретить в ад делать log on c данного IP? Зачем AD знать про SSH?

kdo ()
Ответ на: комментарий от user_undefined

А security группа чем отличается от группы? ldap_access_filter для разных машин свой будет или можно единым в моем примере обойтись?

kdo ()
Ответ на: комментарий от kdo

А security группа чем отличается от группы?

Не знаю, может и ничем, я в них не разбираюсь, как сказали винадмины - так и делаю

ldap_access_filter для разных машин свой будет или можно единым в моем примере обойтись?

в фильтре указывается группа, в которую входят пользователи с доступом, можно вполне и одной обойтись.

user_undefined ()
Ответ на: комментарий от kdo

Хорошо. Теперь добавляешь нужных пользователей в специальные группы, которым можно подключаться на соответствующих машинах к ssh, а в конфиге sshd пишешь в AllowGroups эти группы

anonymous ()
Ответ на: комментарий от anonymous

Да, думаю так и сделать. Специаньные группы - группы с GID в unix attributes. Спасибо!

kdo ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.