ldap - 如何配置 hashcorp v1.2.3 以根据 LDAP 组中的成员身份限制登录?
问题描述
活动目录 LDAP 配置:
Key Value
--- -----
binddn CN=BindVault,OU=my-ou,DC=ad,DC=xyz,DC=net
case_sensitive_names true
certificate n/a
deny_null_bind true
discoverdn false
groupattr memberOf
groupdn DC=ad,DC=xyz,DC=net
groupfilter (&(objectClass=person)(sAMAccountName={{.Username}}))
insecure_tls false
starttls true
tls_max_version tls12
tls_min_version tls12
token_bound_cidrs []
token_explicit_max_ttl 0s
token_max_ttl 0s
token_no_default_policy true
token_num_uses 0
token_period 0s
token_policies []
token_ttl 0s
token_type default
upndomain n/a
url ldaps://ldaps.ad.xyz.net:636
use_pre111_group_cn_behavior true
use_token_groups true
userattr cn
userdn DC=ad,DC=xyz,DC=net
这可以正常工作,因为当用户登录时,查询会返回用户所属的组,并且可以将策略映射到组。
问题在于不是任何 ldap 策略组成员的用户。目前,这些用户可以登录,但被拒绝访问所有内容,因为他们没有分配任何策略。我宁愿他们根本无法登录。
解决方案
看起来有一个开放的拉取请求将为用户添加一个过滤器,该过滤器可用于仅允许访问指定的 LDAP 用户。拉取请求已通过所有自动检查,正在等待审核,因此有望尽快添加。
推荐阅读
- node.js - NextJS 使用 JWT 进行身份验证
- asp.net-core - OpenIdDict 3.0 在控制器中接受 Id 令牌而不是访问令牌
- python - 如何将日期时间插入 SQlite
- java - 在服务调用java spring boot中使用rest模板发送和接收字节数组
- ios - iOS CI/CD 监控部署
- node.js - 为什么我需要为我的服务器隐藏 api 键/环境变量?
- sql - 如何根据条件连接具有不同列的 2 个 SQL 表?
- qt - 如何使用 C++ 或 Python 在 Qt 3D 中创建 Skybox?
- android - 在 Android Studio 上获取实时视频的同时,从摄像头硬件中减小摄像头尺寸
- grep - 删除与 grep 模式匹配的行,但一个文件除外