4.5. 配置简单的访问提供程序规则

simple 访问提供程序会基于用户名或组允许或拒绝访问。它可让您限制对特定机器的访问。

例如,您可以使用 simple 访问供应商限制对特定用户或组的访问。即使他们针对配置的身份验证提供程序成功进行身份验证,也不允许其他用户或组登录。

先决条件

  • root 访问权限

流程

  1. 打开 /etc/sssd/sssd.conf 文件:
  2. access_provider 选项设置为 simple

    [domain/your-domain-name]
    access_provider = simple
  3. 为用户定义访问控制规则。

    1. 要允许访问用户,请使用 simple_allow_users 选项。
    2. 若要拒绝用户访问,可使用 simple_deny_users 选项。

      重要

      如果您拒绝对特定用户的访问,则会自动允许对所有其他用户的访问。因此,允许访问特定用户通常被认为比拒绝对特定用户的访问更安全。

  4. 定义组的访问控制规则。选择以下任意一项:

    1. 若要允许访问组,可使用 simple_allow_groups 选项。
    2. 若要拒绝对组的访问,可使用 simple_deny_groups 选项。

      重要

      如果您拒绝访问特定组,则会自动允许访问其他任何组。因此,允许访问特定组通常被认为比拒绝对特定组的访问更安全。

      例 4.3. 允许访问特定用户和组

      以下示例允许访问 user1、user2 和 group1 的成员,同时拒绝对所有其他用户的访问:

      [domain/your-domain-name]
      access_provider = simple
      simple_allow_users = user1, user2
      simple_allow_groups = group1
重要

将拒绝列表保留为空可能会导致允许任何人访问。

注意

如果您要将可信 AD 用户添加到 simple_allow_users 列表中,请确保您使用完全限定域名(FQDN)格式,例如 aduser@ad.example.com。由于不同域中的短名称可以相同,这防止了访问控制配置的问题。

其它资源

  • sssd-simple 手册页