Active DirectoryのユーザーのSSS構成でログインシェルを設定する

sssdメンテナに感謝 答えを見つけました。これは、私が必要とすることを実行する設定です。つまり、SSHトンネリングは許可しますが、AD LimitedGroupのメンバーであるADユーザーへのSSHログインは許可しません。

制限付きグループのメンバーは、user@MYDOMAIN_TEST.GLOBALではなく[email protected]としてsshを実行する必要があります。そうしないと機能しません。

ソリューションの要点は、simple_allow_groupsディレクティブでADドメイン名の代わりにSSSDセクションドメイン名を使用することです。ただし、設定はaccess_provider = simpleおよびsimple_allow_groups = ...の行がなくても機能することに注意してください。コメントでユーザーから報告されているように、simple_allow_groups = groupディレクティブなしでuse_fully_qualified_names = Trueを設定することもできます。

また、この構成では、廃止予定のldap_user_search_baseではなくldap_user_search_filterを使用することに注意してください。

他の構成オプションは、構成ファイルにすでに含まれているため、完全を期すためのものです。

[sssd]
domains = MYDOMAIN.GLOBAL,MYDOMAIN_TEST.GLOBAL
config_file_version = 2
services = nss, pam

[nss]
default_Shell = /bin/bash

[domain/MYDOMAIN_TEST.GLOBAL]
ldap_user_search_base = DC=MYDOMAIN,DC=GLOBAL?subtree?(memberOf=CN=LimitedGroup,OU=Groups,DC=MYDOMAIN,DC=GLOBAL)
default_Shell = /sbin/nologin
ad_server = ad.mydomain.global
ad_backup_server = ad2.mydomain.global
ad_domain = MYDOMAIN.GLOBAL
krb5_realm = MYDOMAIN.GLOBAL
realmd_tags = manages-system joined-with-adcli 
cache_credentials = False
id_provider = ad
krb5_store_password_if_offline = True
ldap_id_mapping = True
use_fully_qualified_names = True
fallback_homedir = /home/%u@%d
access_provider = simple
simple_allow_groups = LimitedGroup@MYDOMAIN_TEST.GLOBAL

[domain/MYDOMAIN.GLOBAL]
ldap_user_search_base = DC=MYDOMAIN,DC=GLOBAL?subtree?(memberOf=CN=AdminsGroup,OU=Groups,DC=MYDOMAIN,DC=GLOBAL)
default_Shell = /bin/bash
ad_server = ad.mydomain.global
ad_backup_server = ad2.mydomain.global
ad_domain = MYDOMAIN.GLOBAL
krb5_realm = MYDOMAIN.GLOBAL
realmd_tags = manages-system joined-with-adcli 
cache_credentials = False
id_provider = ad
krb5_store_password_if_offline = True
ldap_id_mapping = True
use_fully_qualified_names = True
fallback_homedir = /home/%u@%d
access_provider = simple
simple_allow_groups = [email protected]