我们正试图通过将用户/组Map到ldap服务器,在使用rhel6服务器的环境中集中我们的用户群。我知道怎么做,但有一些限制,我需要考虑到。我有一个hadoop集群,其中有一个网关节点和其他工作节点(主节点和从节点)。我希望所有用户通过使用ldap用户和密码信息而不是本地数据库(/etc/passwd)登录到gateway节点和所有其他节点,但同时希望限制用户登录到gateway节点以外的其他节点。这可能是一个非常简单的问题,但我似乎无法想到一个可能的解决方案,这种情况。如果其他人也使用了同样的方案,在这个方向上的一点提示将是一个很大的帮助。谢谢你看了这篇文章。
1条答案
按热度按时间f0brbegy1#
有几种方法可以解决这个问题:
不要通过更改ldap设置来解决这个问题,而是在网关主机上使用不同的ssh配置。如果您将允许登录到任何主机的用户放在不同的组中,则可以使用
AllowGroupsssh守护进程的配置选项来限制访问。另一个选择-假设你使用
authconfig在RHEL6上,将用户/组Map到ldap服务器是使用PAMLDAP模块,而不是authconfig(包名称)pam_ldap). pamldap有一些您可以利用的选项。一个是pam_filter-它可以用来选择用户的子集-登录到网关主机。另一个是pam_groupdn您可以使用它来只允许那些属于特定ldap组的用户。当然,你可以继续用
authconfig并在网关主机上指定不同的基本dn。但这将要求一些用户出现在目录树的两个不同部分中。这可能是解决问题最简单但最不可取的方法。我能想到的最后一个选项是向ldap服务器添加基于源主机/ip的访问控制。这样,如果主机是网关服务器,ldap服务器将授予一组用户/组的访问权限;如果请求主机不是网关服务器,则授予另一组用户/组的访问权限。
我希望这有帮助。