SSH на сервер Windows, получение открытых ключей из LDAP

Philip Colmer

08.06.2023, 14:32

У нас есть установленный процесс, когда пользователи, подключающиеся к серверу Ubuntu через SSH, получают свои открытые ключи из нашей инфраструктуры LDAP, а затем PAM настраивает свой домашний каталог и т. д.

Мне нужно настроить автономный сервер Windows, но пользователи по-прежнему хотят использовать SSH для подключения к нему. Поэтому я ищу, как попытаться воспроизвести опыт Ubuntu в Windows.

Однако, насколько я могу судить, Windows требует, чтобы пользователи уже существовали, а их авторизованные ключи сохранялись в пользовательском каталоге .ssh, как это делает Linux в обычных обстоятельствах. Если вам нужны права администратора, это сложнее, потому что в одном файле хранятся все открытые ключи для администраторов, и вы должны правильно настроить ACL для файла. Итак, опять же, пользователи должны существовать заранее.

Есть ли этому решение? Бесплатно или платно - просто пытаюсь выяснить, существует ли вообще решение.

Спасибо.

0 + 0

брандмауэр

LDAP

ssh-ключи

Bob

08.06.2023, 16:42

Поскольку сервер Windows SSH является ответвлением OpenSSHD, он мог бы поддерживать опцию opensshd [`AuthorizedKeysCommand`](https://man.openbsd.org/sshd_config.5#AuthorizedKeysCommand) для sshd. При включении `AuthorizedKeysCommand` вы можете указать команду/скрипт/исполняемый файл, который будет запускаться во время входа в систему для извлечения открытого ключа (ов) пользователя из удаленного источника (например, вашего сервера LDAP) и выполнять проверку так же, как если бы это было ` author_keys` в домашнем каталоге пользователей с этими открытыми ключами. Это действительно хорошее решение для централизованного управления открытыми ключами.

Ответить

Bob

08.06.2023, 16:48

К сожалению, это еще не поддерживается в форке Windows. См. список неподдерживаемых параметров здесь: https://docs.microsoft.com/en-us/windows-server/administration/openssh/openssh_server_configuration, и я никоим образом не могу сделать что-то вроде собственного ssh-сервера Windows.

Ответить

Admin

Этот вопрос на других языках:

EN: SSH to Windows server, fetching public keys from LDAP

TH: SSH ไปยังเซิร์ฟเวอร์ Windows ดึงคีย์สาธารณะจาก LDAP

RO: SSH pe serverul Windows, preluând cheile publice de la LDAP

RU: SSH на сервер Windows, получение открытых ключей из LDAP

VI: SSH tới máy chủ Windows, tìm nạp khóa công khai từ LDAP

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.