ในระยะสั้น:
ต้องการวิธีการรับรองความถูกต้องของคีย์ SSH ผ่าน LDAP
ปัญหา:
เราใช้ LDAP (slapd) สำหรับบริการไดเรกทอรีและเราเพิ่งย้ายไปใช้ AMI ของเราเพื่อสร้างอินสแตนซ์ เหตุผลบิต AMI เป็นสิ่งที่สำคัญคือว่านึกคิดเราต้องการเพื่อให้สามารถเข้าสู่ระบบด้วย SSH ผ่านการตรวจสอบคีย์เร็วที่สุดเท่าที่อินสแตนซ์ที่กำลังทำงานและไม่ต้องรอให้เครื่องมือของเราค่อนข้างช้าจัดการการกำหนดค่าที่จะเขี่ยสคริปต์เพื่อเพิ่ม ปุ่มที่ถูกต้องกับอินสแตนซ์
สถานการณ์ที่เหมาะสมที่สุดคือเมื่อเพิ่มผู้ใช้ใน LDAP เราจะเพิ่มรหัสของพวกเขาเช่นกันและพวกเขาจะสามารถเข้าสู่ระบบได้ทันที
การรับรองความถูกต้องของคีย์เป็นสิ่งที่ต้องทำเนื่องจากการเข้าสู่ระบบด้วยรหัสผ่านนั้นมีความปลอดภัยน้อยกว่า
ฉันได้อ่านคำถามนี้ซึ่งแนะนำว่ามีแพทช์สำหรับ OpenSSH เรียกว่า OpenSSH-lpk เพื่อทำสิ่งนี้ แต่ไม่จำเป็นกับเซิร์ฟเวอร์ OpenSSH> = 6.2
เพิ่มตัวเลือก sshd_config (5) AuthorizedKeysCommand เพื่อสนับสนุนการดึง authorized_keys จากคำสั่งเพิ่มเติมจาก (หรือแทน) จากระบบไฟล์ คำสั่งรันภายใต้บัญชีที่ระบุโดยตัวเลือก AuthorizedKeysCommandUser sshd_config (5)
ฉันจะกำหนดค่า OpenSSH และ LDAP เพื่อใช้งานได้อย่างไร
AuthorizedKeysCommandUser nobody
แทนที่จะเป็นรูท