[CentOS7] SSSDのアクセス制御方法

概要

特定のグループに所属しているドメインユーザのみ、Linuxサーバへ接続可能にする。

前提条件

SSSDが設定済みでActive Directoryと連携ができていること。

参考:[CentOS7] Active Directoryとの連携にSSSDを使用する方法

方法1

realmコマンドを使用する方法

realm denyで全てのアクセスを拒否した後、realm permitでadusersのアクセスを許可する。

# realm deny --all
# realm permit --groups adusers
# systemctl restart sssd

NOTE:
sssd.confファイルが更新される。

# cat /etc/sssd/sssd.conf
access_provider = simple
simple_allow_groups = adusers

方法2

アクセス制御フィルターを使用する方法

sssd.confにad_addcess_filterを追加する。
このフィルターに一致するアカウントのみアクセスを許可する。

# vi /etc/sssd/sssd.conf
access_provider = ad
ad_access_filter = (&(objectclass=person)(memberOf=CN=adusers,OU=GROUPS,DC=test,DC=local))
# systemctl restart sssd

確認

adusersグループに所属するドメインユーザのログイン

adusersグループに所属するドメインユーザは接続できる。

# ssh -l aduser1@test.local centos2
aduser1@test.local@centos2's password:
Last login: Thu Sep 14 10:42:22 2017 from centos1
$

adusersグループに所属しないドメインユーザのログイン

adusersグループに所属しないドメインユーザはパスワード入力後、コネクションがクローズされる。

# ssh -l noaduser@test.local centos2
noaduser@test.local@centos2's password:
Connection closed by 192.168.1.2
#

参考

• https://access.redhat.com/documentation/ja-JP/Red_Hat_Enterprise_Linux/7/html/Windows_Integration_Guide/adding-linux-to-ad.html