Рейтинг:0

Считается ли использование узла перехода SSH входом в систему?

флаг lc

Я попросил служебную учетную запись у ребят из AD, которая позволит мне использовать определенный сервер в качестве узла перехода SSH (используя ProxyJump), и, конечно же, для этой цели я настроил закрытый ключ SSH. Сам jumphost использует SSSD для аутентификации пользователей в AD.

Однако меня предупредили, что если атрибут AD LastLoginTimeStamp в учетной записи службы станет слишком старым, учетная запись будет удалена. Итак, вопрос в том, будет ли то, что SSSD делает от имени модулей pam, которые SSHD активирует для входа только через туннель (без команды пользователя), на самом деле будет обновлять эту отметку времени? Возможно, поиска групп пользователей с помощью LDAP недостаточно, но что? Я могу провести исследование на стороне Linux, чтобы увидеть, что делает SSSD, но у меня нет легкого доступа к стороне AD, чтобы проверить, обновляется ли отметка времени.

Semicolon avatar
флаг jo
Ваша временная метка никогда не будет обновляться, пока вы продолжаете использовать аутентификацию с открытым ключом; вы не выполняете вход в учетную запись в AD. Используйте пароль или GSSAPI/Kerberos, и вы увидите приращение метки времени.
Рейтинг:1
флаг us

Теоретически атрибут AD lastLogonTimestamp обновляется после одного из следующих событий:

  • интерактивный или сетевой вход NTLM
  • Простая привязка LDAP

Так что это будет зависеть от механизма, используемого службой (извините, у меня нет опыта работы с JumpHost или SSSD).

По моему личному опыту, некоторые службы, интегрированные с AD через LDAP, успешно используют свою учетную запись службы, но значение атрибута не обновляется. У меня не было возможности выяснить, почему именно это происходит, но, поскольку с каждым сервисом это отдельная история, я думаю, что единственная безопасная ставка — это попробовать и убедиться в этом самим.Атрибут должен быть обновлен сразу при первом входе в систему. После этого значение может быть задержано до 14 дней.

пожалуйста, проверьте технические характеристики атрибута для дополнительной информации.

Несколько вещей, чтобы убедиться в случае устранения неполадок:

  • В AD есть история ошибок, когда атрибут lastLogonTimestamp не обновляется, когда должен. Последний, который я помню, был пропатчен 3 года назад (КБ4457127)
  • Атрибут объявления msDS-Логонтимесинтервал должен быть ненулевым. В противном случае lastLogonTimestamp не будет обновляться

Надеюсь это поможет

флаг lc
Это отвечает на мой вопрос в той степени, в которой я не буду продолжать расследование, а просто настрою сценарий ожидания в cron для входа в систему с паролем.(Короткая продолжительность концентрации внимания, ожидание результатов две недели — это рецепт забывчивости). Одним из факторов является то, что я знаю, что простая привязка была отключена в нашей AD, а SSSD использует Kerberos, поэтому мы не находимся ни в одном из двух случаев, которые должны обновляться.
флаг lc
Кроме того, временные метки явно обновляются для обычных входов в систему, поскольку администраторы AD используют их для очистки неактивных учетных записей.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.