Я тестирую openldap как источник для s sh входов в систему и правил sudo с использованием sssd.
До сих пор я мог использовать LDAP для аутентификации (пароль и ключ) и sudo на основе правил из LDAP.
Но я хочу также иметь возможность использовать сетевые группы для контроля, где пользователи имеют доступ для входа в систему.
При использовании ALL для хоста в правиле sudo LDAP пользователь может выполнять sudo. Если я создаю nisNetgroup, которую я буду использовать в правиле sudo, то пользователь не сможет sudo.
Это то, что у меня есть в моем sssd conf для сетевых групп:
sudo_provider = ldap
####-- netgroups
ldap_sudo_include_netgroups = True
ldap_netgroup_search_base = ou=HostGroups,dc=redacted,dc=com
ldap_netgroup_object_class = nisNetgroup
ldap_netgroup_triple = nisNetgroupTriple
У меня есть netgroup: sss в файле /etc/nsswitch.conf
Моя nisNetgroup в LDAP:
dn: cn=blabla,ou=HostGroups,dc=redacted,dc=com
cn: blabla
nisNetgroupTriple: test-app01,,
objectClass: nisNetgroup
objectClass: top
в журнале sssd я могу видеть три записанных beign:
[sdap_attrs_add_ldap_attr] (0x2000): Adding netgroup triple [test-app01,,] to attributes of [blabla].
Но когда я запускаю getent, я не вижу тройку:
$getent -s sss netgroup blabla
blabla
И пользователь не может sudo.
Любая помощь будет оценена. Спасибо.