<html>
  <head>

    <meta http-equiv="content-type" content="text/html; charset=utf-8">
  </head>
  <body bgcolor="#FFFFFF" text="#000000">
    Hey Guy's,<br>
    <br>
    (Sending this again as I didn't have this email included in the
    freeipa-users mailing list so not sure if the other message will get
    posted.)<br>
    <div class="moz-forward-container"> <br>
      Before I post a ticket to RH Support for an RFE, I'll post the
      request here to get some feedback on options and what ideas folks
      have.  I've a situation as follows.  I have the following setup in
      WS 2012 AD DC:<br>
      <br>
      TomK (user)<br>
      TomK Groups:<br>
                      unixg<br>
                      windowsg<br>
      <br>
      unixg has the 'host' attribute defined 'lab01,lab02,lab03,lab04'<br>
      windowsg has the 'host' attribute defined
      'lab06,lab07,lab08,lab09'<br>
      <br>
      TomK(user) also has the 'host' attribute defined as per the proper
      RFC for LDAP.  With SSSD rules I can define the rules to read the
      user 'host' attribute but not the group 'host' attribute:<br>
      <br>
      <br>
      <pre style="box-sizing: border-box; overflow: auto; font-family: Consolas, Monaco, 'Andale Mono', monospace; font-size: 13px; display: block; padding: 15px; margin: 0px 0px 15px; line-height: 1.42857; word-break: normal; word-wrap: normal; color: rgb(51, 51, 51); border: 1px solid rgb(236, 236, 236); border-radius: 0px; white-space: pre-wrap; width: auto; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; orphans: auto; text-align: left; text-indent: 0px; text-transform: none; widows: 1; word-spacing: 0px; -webkit-text-stroke-width: 0px; background-color: rgb(245, 245, 245); background-repeat: repeat;"><code style="box-sizing: border-box; font-family: Consolas, Monaco, 'Andale Mono', monospace; font-size: inherit; padding: 0px; color: inherit; border-radius: 0px; white-space: pre; margin: 0px; overflow-x: auto; width: auto; word-wrap: normal; background-color: transparent;">access_provider = ldap
ldap_access_order = host
ldap_user_authorized_host = host</code></pre>
      <br>
      Essentially TomK to be given access to hosts listed in the 'host'
      attribute but denied entry into lab05 for example (not listed in
      any group 'host' attribute above) to the server.   If I have a new
      user that has joined that particular team at our organization, I
      can simply add her/him to the above groups and this user would get
      access only to the listed servers in 'host' attribute by default. 
      I don't need to specify new groups in customized sssd.conf or
      ldap.conf files or in sshd config files.  Hence less to update
      with Salt or any other CM suite.  I've managed to setup SUDO rules
      and with the openssh-ldap.diff schema SSH public keys could be
      stored in AD as well and be read by OpenSSH.  So aside from the
      HBAC capability on groups, virtually all our needs are handled by
      the WS2012 AD DC as it has to follow the OpenLDAP standard
      anyway.  Now to get this we considered and are still considering
      FreeIPA.  However this idea poses a set of challenges:<br>
      <br>
      1) In large organizations where the AD support department are only
      trained in Windows AD setup and configuration (Only windows guy's)
      this would require a minimal of 3 bodies to support that know
      LDAP/Linux.  This is a large cost.  <br>
      <br>
      2) The additional server requires the same hardening as the
      Windows AD DC servers meaning a new procedure has to be carved out
      for the 2+ FreeIPA servers to be supported, hardened and
      maintained (upgraded).  <br>
      <br>
      Now I probably sound somewhat anti-FreeIPA, however the challenges
      of implementing it in large organizations surface after some
      deliberation, so probably better to list then as it may help
      direct development of the product to contend with the challenges
      (Like having a document fully dedicated to hardening a FreeIPA
      server with selinux and other technologies in easy to maintain
      configuration).   I could be mistaken but some folks mention that
      it's 'better' to implement this sort of HBAC through other means
      (?? iptables ??) but never tried the alternatives yet. <br>
      <br>
      So, cutting to the end, would it be possible to add an attribute
      like:<br>
      <br>
      <pre style="box-sizing: border-box; overflow: auto; font-family: Consolas, Monaco, 'Andale Mono', monospace; font-size: 13px; display: block; padding: 15px; margin: 0px 0px 15px; line-height: 1.42857; word-break: normal; word-wrap: normal; color: rgb(51, 51, 51); border: 1px solid rgb(236, 236, 236); border-radius: 0px; white-space: pre-wrap; width: auto; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; orphans: auto; text-align: left; text-indent: 0px; text-transform: none; widows: 1; word-spacing: 0px; -webkit-text-stroke-width: 0px; background-color: rgb(245, 245, 245); background-repeat: repeat;"><code style="box-sizing: border-box; font-family: Consolas, Monaco, 'Andale Mono', monospace; font-size: inherit; padding: 0px; color: inherit; border-radius: 0px; white-space: pre; margin: 0px; overflow-x: auto; width: auto; word-wrap: normal; background-color: transparent;">ldap_user_authorized_host</code></pre>
      but perhaps called 'ldap_group_authorized_host' to the SSSD code
      to enable reading the 'host' attribute on AD/LDAP defined groups?<br>
      <br>
      Cheers,<br>
      Tom<br>
      <br>
      <br>
    </div>
    <br>
  </body>
</html>