Linux и AD - настройка доступа к хостам

0

1

Есть четыре Linux серверов (A,B,C,D) в которых аутентификация/авторизация проходит через учетные данные хранящиеся в Active Directory(AD). Не могу настроить доступ к Linux серверам! То есть нужно сделать следующее: пользователю user1 разрешить доступ к Linux серверам А и С, а к серверам B и D запретить...

В AD, в учетной записи пользователя user1 задаю что ему разрешено ходить ТОЛЬКО на сервера А и С(В оснастке «Active Directory – пользователи и компьютеры» --> захожу в свойства учетной записи пользователя, далее --> Вкладка «Учетная запись», далее --> жму кнопку «Вход на...» и указываю сервера (А,С), на которые пользователь может выполнять вход), но правило не срабатывает, пользователь по прежнему имеет доступ ко всем (A,B,C,D) серверам...

Как запретить доступ?

Ссылка

←	Сессии в xrdp

настройка неординарной схемы репликации mysql

→

конкретными запретами на общие ресурсы на сервере.
Альтернативный вариант, насколько я в курсе, отсутствует.

Atlant ★★★★★
(03.03.14 16:45:19 MSK)

Ответ на: комментарий от Atlant 03.03.14 16:45:19 MSK

т.е. в sshd.conf прописывать AllowUsers?

kdo
(03.03.14 17:05:13 MSK) автор топика

Что такое «ходить»? Откуда ад может зать про ssh?

anonymous
(03.03.14 17:44:21 MSK)

Ответ на: комментарий от anonymous 03.03.14 17:44:21 MSK

Подключаться удаленно по SSH к Linux-серверам используя учетные данные из AD.

SSH про AD знает ( sssd ). AD знает компьютер с SSH. Как запретить в ад делать log on c данного IP? Зачем AD знать про SSH?

kdo
(03.03.14 17:56:10 MSK) автор топика

Ответ на: комментарий от kdo 03.03.14 17:05:13 MSK

если, для доступа через ssh - то да

Atlant ★★★★★
(03.03.14 17:56:10 MSK)

Ответ на: комментарий от Atlant 03.03.14 17:56:10 MSK

А нет ли способа сделать это на AD?

kdo
(03.03.14 18:00:37 MSK) автор топика

Ответ на: комментарий от kdo 03.03.14 18:00:37 MSK

есть - делаешь отдельную security группу и туда запихивай всех кому нужен доступ, в sssd натравливай ldap_access_filter на нее

user_undefined ★
(03.03.14 18:21:24 MSK)

Ответ на: комментарий от user_undefined 03.03.14 18:21:24 MSK

А security группа чем отличается от группы? ldap_access_filter для разных машин свой будет или можно единым в моем примере обойтись?

kdo
(03.03.14 19:32:53 MSK) автор топика

Ответ на: комментарий от kdo 03.03.14 19:32:53 MSK

А security группа чем отличается от группы?

Не знаю, может и ничем, я в них не разбираюсь, как сказали винадмины - так и делаю

ldap_access_filter для разных машин свой будет или можно единым в моем примере обойтись?

в фильтре указывается группа, в которую входят пользователи с доступом, можно вполне и одной обойтись.

user_undefined ★
(04.03.14 09:52:33 MSK)

Ссылка

Ответ на: комментарий от kdo 03.03.14 17:56:10 MSK

Хорошо. Теперь добавляешь нужных пользователей в специальные группы, которым можно подключаться на соответствующих машинах к ssh, а в конфиге sshd пишешь в AllowGroups эти группы

anonymous
(04.03.14 11:00:54 MSK)

Ответ на: комментарий от anonymous 04.03.14 11:00:54 MSK

Да, думаю так и сделать. Специаньные группы - группы с GID в unix attributes. Спасибо!

kdo
(04.03.14 11:55:03 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Сессии в xrdp

Admin

настройка неординарной схемы репликации mysql

→

Похожие темы