【问题标题】:ldap user/group mapping with access control具有访问控制的 ldap 用户/组映射
【发布时间】:2016-08-26 11:17:20
【问题描述】:

我们正在尝试通过将我们的用户/组映射到 ldap 服务器来使用 Rhel6 服务器在我们的环境中集中我们的用户群。我知道该怎么做,但是我需要考虑一些限制。 我有一个带有网关节点和其他工作节点(主节点和从节点)的 hadoop 集群。我希望所有用户使用 ldap 用户和密码信息而不是本地数据库(/etc/passwd)登录到网关节点和所有其他节点,但同时希望限制用户登录到网关以外的其他节点节点。这可能是一个非常简单的问题,但我似乎无法想到解决这种情况的可能方法。如果其他人已经练习过相同的场景,那么在这个方向上的一点提示将是一个很大的帮助。感谢您阅读帖子。

【问题讨论】:

    标签: hadoop ldap


    【解决方案1】:

    有几种方法可以解决这个问题:

    • 不要通过更改 LDAP 设置来解决此问题,而是在网关主机上使用不同的 SSH 配置。如果您将允许登录任何主机的用户放到不同的组中,那么您可以使用 SSH 守护程序的 AllowGroups 配置选项来限制访问。
    • 另一个选项 - 假设您在 RHEL 6 上使用 authconfig 将您的用户/组映射到 LDAP 服务器 - 是使用 PAM LDAP 模块而不是 authconfig(包名称 pam_ldap)。 PAM LDAP 有一些您可以利用的选项。一个是pam_filter - 可用于选择用户子集 - 登录到网关主机。另一个是 pam_groupdn,您可以使用它来仅允许属于特定 LDAP 组的用户。
    • 当然,您可以继续使用authconfig 并在网关主机上指定不同的基本DN。但这需要您让一些用户出现在目录树的两个不同部分中。这可能是解决问题的最简单但最不理想的方法。
    • 我能想到的最后一个选项是将基于源主机/IP 的访问控制添加到您的 LDAP 服务器。这样,如果主机是网关服务器,LDAP 服务器将授予对一组用户/组的访问权限,如果请求主机不是网关服务器,则授予另一组用户/组的访问权限。

    我希望这会有所帮助。

    【讨论】:

    • 谢谢 Bertold,这是一个很大的帮助,我想我可能会选择最后一个选项,因为我使用的是同一组用户和组,我将允许和拒绝访问不同的服务器,所以它更好使用主机实体而不是修改有时会变得复杂的用户/组实体。
    猜你喜欢
    • 1970-01-01
    • 2012-06-19
    • 1970-01-01
    • 2011-09-15
    • 1970-01-01
    • 2019-12-04
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多