Tham gia Đăng nhập
Điểm:0
avatar Server

Việc sử dụng máy chủ nhảy SSH có được tính là đăng nhập không?

lá cờ lc
LHMathies

Tôi đã yêu cầu tài khoản dịch vụ từ những người quản lý sẽ cho phép tôi sử dụng một máy chủ cụ thể làm máy chủ lưu trữ SSH (sử dụng ProxyJump) và tất nhiên tôi đã thiết lập khóa riêng SSH cho mục đích này. Bản thân jumphost đang chạy SSSD để xác thực người dùng với AD.

Tuy nhiên, tôi đã được cảnh báo rằng nếu thuộc tính AD LastLoginTimeStamp trên tài khoản dịch vụ quá cũ, tài khoản sẽ bị xóa. Vì vậy, câu hỏi đặt ra là, liệu SSSD có thay mặt cho các mô-đun pam mà SSHD kích hoạt để đăng nhập chỉ bằng đường hầm (không có lệnh của người dùng) có thực sự cập nhật dấu thời gian đó không? Tìm kiếm các nhóm của người dùng bằng LDAP có lẽ là không đủ, nhưng đó là gì? Tôi có thể thực hiện nghiên cứu về phía Linux để xem SSSD làm gì, nhưng tôi không dễ dàng truy cập vào phía AD để kiểm tra xem dấu thời gian có cập nhật hay không.

92
0 + 0
Semicolon avatar
lá cờ jo
Semicolon
Dấu thời gian của bạn sẽ không bao giờ cập nhật miễn là bạn tiếp tục sử dụng xác thực khóa chung; bạn không thực hiện đăng nhập tài khoản vào AD. Sử dụng mật khẩu hoặc GSSAPI/Kerberos và bạn sẽ thấy mức tăng của dấu thời gian.
0
Hồi đáp
Điểm:1
Jevgenij Martynenko avatar Server
lá cờ us
Jevgenij Martynenko

Về lý thuyết thuộc tính AD đăng nhập lần cuốiDấu thời gian được cập nhật sau một trong những điều sau đây:

  • đăng nhập NTLM tương tác hoặc mạng
  • Liên kết đơn giản LDAP

Vì vậy, điều này sẽ phụ thuộc vào cơ chế được sử dụng bởi dịch vụ (xin lỗi, tôi không có kinh nghiệm với JumpHost hoặc SSSD).

Theo kinh nghiệm cá nhân của tôi, một số dịch vụ được tích hợp với AD qua LDAP sử dụng thành công tài khoản dịch vụ của họ, nhưng giá trị thuộc tính không được cập nhật. Tôi không có cơ hội tìm hiểu chính xác tại sao điều này lại xảy ra, nhưng vì mỗi dịch vụ lại là một câu chuyện khác nên tôi nghĩ cách an toàn duy nhất là hãy tự mình thử và xem.Thuộc tính phải được cập nhật ngay trong lần đăng nhập đầu tiên. Sau đó, giá trị có thể trễ tới 14 ngày.

Hãy kiểm tra thông số kỹ thuật thuộc tính để biết thêm thông tin.

Một số điều cần đảm bảo trong trường hợp khắc phục sự cố:

  • AD có tiền sử lỗi khi thuộc tính đăng nhập lần cuốiDấu thời gian không được cập nhật khi cần. Cái cuối cùng tôi nhớ đã được vá cách đây 3 năm (KB4457127)
  • thuộc tính quảng cáo msDS-LogonTimeSyncInterval phải khác không. Nếu không thì đăng nhập lần cuốiDấu thời gian sẽ không được cập nhật

Hi vọng điêu nay co ich

0 + 0
lá cờ lc
LHMathies
Điều này trả lời câu hỏi của tôi đến mức tôi sẽ không điều tra thêm mà chỉ thiết lập một tập lệnh mong đợi trong cron để đăng nhập bằng mật khẩu.(Khoảng thời gian chú ý ngắn, đợi hai tuần để xem kết quả là công thức dẫn đến quên). Một yếu tố là tôi biết rằng liên kết đơn giản đã bị vô hiệu hóa trong AD và SSSD của chúng tôi đang sử dụng Kerberos, vì vậy chúng tôi không thuộc bất kỳ trường hợp nào trong hai trường hợp được cho là cập nhật.
1
Hồi đáp
lá cờ lc
LHMathies
Ngoài ra, dấu thời gian rõ ràng sẽ cập nhật cho các lần đăng nhập bình thường, vì quản trị viên AD sử dụng nó để xóa các tài khoản không hoạt động.
0
Hồi đáp
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.