Объединение входа на основе ключа безопасности с монтированием sshfs в работающей системе с загрузкой PXE

Apollo13

29.09.2023, 18:25

TL;DR: Каков наилучший способ монтировать дома пользователей через SSHFS (или любой другой зашифрованный протокол) при входе в систему, при этом принудительно используя ключи безопасности, такие как Yubikeys и Nitrokeys?

Длинная версия: Мне нужно построить новую сеть, состоящую (по крайней мере изначально) из одного центрального сервера и нескольких клиентов. Идея состоит в том, чтобы позволить клиентам загружаться через PXE, а затем монтировать все необходимые папки через SSHFS. Это не должно быть проблемой с правильно настроенным pam_mount, если я хочу использовать только имя пользователя и пароль, но мне также нужно обеспечить необходимость использования Yubikey в качестве второго фактора для разблокировки монтирования SSHFS.

Знаете ли вы какие-либо более или менее готовые решения, которые я могу использовать для достижения своей цели?

Для полноты картины, конечно, у меня также было несколько идей, но я не знаю, реализуема ли одна из них:

Использование pam_exec в сочетании с пользовательским скриптом, выступающим в качестве оболочки для всех необходимых шагов. Демон сервера проверит базовую аутентификацию, используя имя пользователя и пароль, и, в случае успеха, ответит вызовом (FIDO2), который клиент будет использовать для создания утверждения FIDO2, которое снова может проверить сервер и, в случае успеха, сгенерировать временный SSH. ключ, открытый ключ которого будет добавлен в файл author_keys, а закрытый ключ будет возвращен клиенту. Через определенное время сервер снова удалит эту запись. Я совершенно уверен, что это осуществимо.
Снова с использованием pam_exec и пользовательского сценария, но на этот раз с добавлением Keycloak в настройку сервера, чтобы демон сервера действовал как поставщик услуг с точки зрения OpenID Connect. Я думаю, проблема здесь в том, что сценарий клиента (оболочки) должен иметь возможность аутентифицироваться в Keycloak, потому что «Прямой грант» / «Грант владельца ресурса» нельзя использовать с двухфакторной аутентификацией на основе аппаратных токенов.

Заранее спасибо за любую подсказку.

0 + 0

sshfs

юбикей

Admin

Этот вопрос на других языках:

EN: Combining security key based login with sshfs mount on PXE booted live system

TH: การรวมการเข้าสู่ระบบตามคีย์ความปลอดภัยเข้ากับ sshfs ที่เมานต์บนระบบ PXE ที่เริ่มทำงานจริง

RO: Combinând autentificarea bazată pe chei de securitate cu montarea sshfs pe sistemul live bootat PXE

RU: Объединение входа на основе ключа безопасности с монтированием sshfs в работающей системе с загрузкой PXE

VI: Kết hợp đăng nhập dựa trên khóa bảo mật với sshfs mount trên hệ thống trực tiếp đã khởi động PXE

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.