Tham gia Đăng nhập
Điểm:0
okapi avatar Server

Đưa thông tin đăng nhập .k5 vào ldap với freeipa

lá cờ us
okapi

Trên các hệ thống do tôi quản lý, ngoài tài khoản người dùng là con người, chúng tôi còn có một số tài khoản được liên kết với các vai trò, phần mềm và dữ liệu cụ thể.

Bằng cách sử dụng một .k5đăng nhập tệp trong thư mục chính, có thể sử dụng ssh để kết nối với một máy khác với tư cách là một người dùng khác. Với freeipa, có thể thêm các quy tắc sudo để các thành viên của một nhóm cụ thể có thể thay đổi thành một tài khoản vai trò cụ thể. Nhưng tôi muốn kích hoạt chức năng tương tự trực tiếp với ssh. Điều này thuận tiện hơn trong nhiều trường hợp, đặc biệt là khi có liên quan đến những thứ như chuyển tiếp X. Có thể có dữ liệu khác trong .k5đăng nhập các tệp được lưu trữ trực tiếp trong LDAP qua freeipa?

Tôi cũng sẽ sẵn sàng cho các giải pháp khả thi khác, chẳng hạn như soạn SSH ủy quyền (dường như nằm trong LDAP) từ các khóa chung của người dùng được phép truy cập.

28
0 + 0
Điểm:1
avatar Server
lá cờ ng
abbra

Nó không được thực hiện ở bất cứ đâu, do đó không có sẵn. Tuy nhiên, tôi khuyên bạn không nên sử dụng phương pháp này. Ngoài sự thuận tiện, bạn sẽ mất kiểm tra các hành động được thực hiện. Đi theo các quy tắc sudo vẫn sẽ cho phép bạn tiếp tục truy cập vào chuyển tiếp X (gần như là một ổ cắm truy cập vào thứ gì đó được quảng cáo thông qua một biến môi trường). Tuy nhiên, những gì bạn nhận được là một tập hợp các sự kiện được kiểm tra đối với quyền truy cập đó.

Với SSSD trong Fedora 35+ hoặc RHEL 8.5+, bạn cũng nhận được mô-đun pam_sss_gss.so PAM cho phép xác thực các dịch vụ PAM bằng vé Kerberos mà bạn đã có, vì vậy điều này có thể giúp nó hoạt động tốt trong trường hợp bạn không có mật khẩu nhưng sử dụng PKINIT (thẻ thông minh) thay thế.

Nói tóm lại, mặc dù việc triển khai quyền truy cập khóa SSH dựa trên nhóm có thể hấp dẫn, nhưng theo tôi, việc kiểm tra các sự kiện chuyển đổi vai trò và đăng nhập có sẵn là quan trọng hơn.

0 + 0
Điểm:0
avatar Server
lá cờ fr
Tomek

Tôi không biết cách nào để chia sẻ .k5login bằng ldap.

Tuy nhiên có thể suy ra ủy quyền_keys như chức năng sử dụng ldap. Nếu bạn đang sử dụng sssd, hãy xem sss_ssh_authorizedkeys lệnh (gói sssd-common trên AlmaLinux 8.5) và Phím được ủy quyềnLệnh tùy chọn sshd_config.

Đối với chức năng ldap đơn giản, hãy xem ssh-ldap-người trợ giúp chương trình.Nó là một phần của gói openssh-ldap (cùng bản phân phối).

0 + 0
okapi avatar
lá cờ us
okapi
Cảm ơn, vâng, có thể thêm khóa công khai ssh cho người dùng trong freeipa. Điều tôi không thể tìm thấy với đó là bất kỳ cách nào để kết hợp nhiều thứ lại với nhau để việc chạy sss_ssh_authorizedkeys sẽ trả về một danh sách được tạo từ những người dùng là thành viên của một nhóm. Phải duy trì danh sách các khóa kết hợp với các nhóm là điều tôi muốn tránh.
0
Hồi đáp
lá cờ fr
Tomek
Tôi không tin rằng điều này hiện có thể thực hiện được bằng các công cụ mà tôi biết.Bạn có thể đạt được điều này bằng cách viết AuthorizedKeysCommand của riêng mình để cung cấp danh sách các khóa ssh được chấp nhận dựa trên một số tiêu chí.
1
Hồi đáp
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.