Регистрация Войти
Рейтинг:0
okapi avatar Server

Помещение учетных данных .k5login в ldap с помощью freeipa

флаг us
okapi

В системах, которые я администрирую, помимо учетных записей пользователей, у нас есть ряд учетных записей, связанных с ролями, программным обеспечением и конкретными данными.

С помощью .k5логин файл в домашних каталогах, можно использовать ssh для подключения к другому компьютеру от имени другого пользователя. С помощью freeipa можно добавить правила sudo, чтобы члены определенной группы могли перейти на учетную запись с определенной ролью. Но я хотел бы включить те же функции непосредственно с помощью ssh. Во многих случаях это более удобно, особенно когда речь идет о таких вещах, как переадресация X. Возможно ли иметь данные, которые в противном случае находятся в .k5логин файлы хранятся непосредственно в LDAP через freeipa?

Я также был бы открыт для других возможных решений, таких как составление авторизованных_ключей SSH (которые, по-видимому, находятся в LDAP) из открытых ключей пользователей, которым разрешен доступ.

28
0 + 0
Рейтинг:1
avatar Server
флаг ng
abbra

Он нигде не реализован, поэтому недоступен. Однако я бы рекомендовал не использовать этот подход. Помимо удобства, вы потеряете аудит выполненных действий. Использование правил sudo все равно позволит вам сохранить доступ к пересылке X (это в значительной степени доступ к сокету для чего-то, что рекламируется через переменную среды). Однако вы получаете набор проверенных событий для такого доступа.

С SSSD в Fedora 35+ или RHEL 8.5+ вы также получаете PAM-модуль pam_sss_gss.so, который позволяет аутентифицироваться в службах PAM с уже имеющимися у вас билетами Kerberos, так что это может улучшить его работу в случае, если у вас нет паролей, но вы используете PKINIT. (смарт-карты) вместо этого.

Короче говоря, несмотря на то, что реализация группового доступа к SSH-ключам может показаться заманчивой, на мой взгляд, более важным является наличие аудита событий входа в систему и смены ролей.

0 + 0
Рейтинг:0
avatar Server
флаг fr
Tomek

Я не знаю, как поделиться .k5login с помощью ldap.

Однако можно вывести авторизованные_ключи как функциональность с использованием ldap. Если вы используете sssd, посмотрите sss_ssh_authorizedkeys команда (пакет sssd-common в AlmaLinux 8.5) и АвторизедКейсКомманд параметр sshd_config.

Для простой функциональности ldap взгляните на ssh-ldap-помощник программа.Это часть пакета openssh-ldap (тот же дистрибутив).

0 + 0
okapi avatar
флаг us
okapi
Спасибо да, в фриипе можно добавить публичные ключи ssh пользователям. Чего я не могу найти, так это какого-либо способа собрать несколько вместе, чтобы запуск sss_ssh_authorizedkeys возвращал список, сгенерированный пользователями, которые являются членами группы. Необходимость поддерживать списки ключей в сочетании с группами — это то, чего я хочу избежать.
0
Ответить
флаг fr
Tomek
Я не верю, что в настоящее время это возможно с использованием известных мне инструментов.Вы, вероятно, можете добиться этого, написав свою собственную AuthorizedKeysCommand, чтобы предоставить список допустимых ключей ssh ​​на основе некоторых критериев.
1
Ответить
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.