การรับรองความถูกต้อง SSH และ Active Directory

เป็นไปได้ไหมที่จะตั้งค่าเซิร์ฟเวอร์ SSH Linux (และ Solaris) เพื่อตรวจสอบสิทธิ์ผู้ใช้ด้วยวิธีนี้:

ie ผู้ใช้ john เป็นสมาชิกของกลุ่ม Project1_Developers ใน Active Directory

เรามีบางอย่างบนเซิร์ฟเวอร์ A (ใช้ Linux เซิร์ฟเวอร์มีการเข้าถึงโฆษณาผ่านทางเช่น LDAP) ในเซิร์ฟเวอร์ SSH LDAP (หรือโมดูลอื่น ๆ ) การตรวจสอบการรับรองความถูกต้องเช่น root = Project1_Developers, Company_NIX_Admins

เมื่อ john เชื่อมต่อกับเซิร์ฟเวอร์ A โดยใช้ชื่อผู้ใช้ "john" และรหัสผ่านโดเมนเซิร์ฟเวอร์จะตรวจสอบกลุ่มของ john ในโดเมนและหากกลุ่มคือ "Project1_Developers" หรือ "Company_NIX_Admins" ทำให้เขาอยู่ภายในเครื่องเป็นสิทธิ์การใช้งานรูท

แนวคิดก็คือมีเพียง "รูท" และผู้ใช้ระบบบนเซิร์ฟเวอร์โดยไม่ต้องเพิ่มผู้ใช้ "จอห์น" ให้กับเซิร์ฟเวอร์ทั้งหมดที่จอห์นสามารถเข้าสู่ระบบได้

ความช่วยเหลือหรือความคิดวิธีการทำข้างต้นหรือสิ่งที่คล้ายกับข้างต้นหรือไม่ ต้องการใช้ AD แต่สามารถแก้ปัญหาที่คล้ายกันอื่น ๆ ได้

ป.ล. โปรดอย่าเปิดการอภิปรายมันปลอดภัยที่จะเข้าสู่ระบบผ่านทาง SSH เป็นรากหรือไม่ขอบคุณ :)

โดยพื้นฐานแล้วคุณกำลังอ้างถึงการรับรองความถูกต้อง PAM ของ Linux ผ่านการเชื่อมโยง PAM-LDAP กับเซิร์ฟเวอร์ Active Directory ในกรณีนี้คุณจะต้องกำหนดค่ากล่องลินุกซ์เพื่อตรวจสอบสิทธิ์ด้วย AD ผ่าน PAM (libs "ตัวควบคุมการตรวจสอบความถูกต้อง" ส่วนกลาง)

ด้วยวิธีนี้ John จะเข้าสู่ระบบด้วย uid และรหัสผ่านของเขาตามที่พบในโฆษณา

นอกจากนี้คุณสามารถดู netgroups หรือ Kerberos เพื่อตรวจสอบว่า John ได้รับอนุญาตให้เชื่อมต่อกับกล่องเฉพาะนั้นหรือไม่

สุดท้ายเนื่องจากคุณพูดถึง SSH โดยเฉพาะคุณอาจสนใจที่จะมองหาแพตช์ LPK สำหรับ LDAP ซึ่งอนุญาตให้คุณเก็บใบรับรองการตรวจสอบสิทธิ์ของ John สำหรับ SSH ภายใน LDAP

คุณไม่จำเป็นต้องเพิ่ม john ลงในเซิร์ฟเวอร์ทั้งหมดด้วยตนเอง กำหนดค่า NSS, PAM และ sudo เพื่อใช้ LDAP