SSSD Politikası
Last updated
Last updated
SSSD Politikalarında makine üzerinde login filtrelemesi yapılabilmektedir. Bu sayede belirlenen kullanıcı veya grupların makineye giriş yapabilmesi sağlanırken istenmeyen kişilerin girişi engellenebilir. Politika üzerindeki ayarlarla sssd.conf dosyasındaki ad_access_filter seçeneği düzenlenerek filtreleme sağlanır.
Öncelikle login filtrelemesi yapmak için bir adet politika oluşturup politika nesnesine girilir. Makine Politikaları sekmesinden SSSD kısmına geçiş yapılır. Bu bölümde login filtrelemesi için yapılacak ayarlar en alttaki Login Filtresi ve Kullanıcı veya Grup'a İzin Ver ayarlarıdır.
Login filtrelemesinin çeşitli türleri vardır. Bu türlerin özelliklerinden bahsetmek gerekirse:
Makine Kısıtı: userWorkstations attribute'u makinenin hostname değeri ile eşleşen kullanıcılar giriş yapabilir.
Bağıl Makine Kısıtı: userWorkstations attribute'u makinenin hostname değeri ile eşleşen veya bu attribue'u boş olan kullanıcılar giriş yapabilir.
Kullanıcı veya Grup Kısıtlama: Yalnızca belirlenen kullanıcı veya gruplar giriş yapabilir.
Serbest: Herhangi bir filtreleme belirtmez.
Bu filtrelemelerin politika ayarlarında nasıl uygulanacağı ise şu şekildedir:
Filtreleme Türü
Politika Ayarı
Makine Kısıtı
Login Filtresi ayarı Makine Kısıtı seçeneğine getirilerek kaydedilir.
Bağıl Makine Kısıtı
Login Filtresi ayarı Bağıl Makine Kısıtı seçeneğine getirilerek kaydedilir.
Kullanıcı veya Grup Kısıtlama
Login Filtresi ayarı Pasif seçeneğine getirilir ve Kullanıcı veya Grup'a İzin Ver ayarında izin verilecek kullanıcı ve gruplar girilerek ayarlar kaydedilir.
Serbest
Login Filtresi ayarı Pasif seçeneğine getirilerek kaydedilir.
Politika ayarlarına bir örnek vermek gerekirse görseldeki gibi bir ayarlama yapılarak ahmet ve mehmet kullanıcılarının ve sysadmins grubunun makineye girişine izin verilecek filtreleme sağlanabilir.
Kullanıcı ve gruba izin vermek filtrelemeyi baskılamaktadır. Kullanıcı veya gruba izin verdiğinizde filtre geçersiz hale gelip, yalnızca belirtilen kullanıcı ve gruplar girebilmektedir.
Kullanıcı veya grup filtrelemesi yapılırken dikkat edilecek en önemli nokta, eğer makinenin SSSD ayarlarında Nitelikli Kullanıcı İsimleri Kullan (use_fully_qualified_names) seçeneği açıksa filtrelemede yazılacak kullanıcı ve grup isimlerinin ahmet@deneme.lab veya sysadmin@deneme.lab şeklinde yazılması gerektiğidir.