înregistrare Logare
Puncte:0
avatar Server

Utilizarea unei gazde de salt SSH contează ca logare?

drapel lc
LHMathies

Am cerut un cont de serviciu de la băieții AD, care să mă permită să folosesc un anumit server ca Jumphost SSH (folosind ProxyJump) și, desigur, am configurat o cheie privată SSH în acest scop. Jumphost în sine rulează SSSD pentru a autentifica utilizatorii împotriva AD.

Cu toate acestea, am fost avertizat că, dacă atributul AD LastLoginTimeStamp din contul de serviciu devine prea vechi, contul va fi șters. Deci întrebarea este, orice va face SSSD în numele modulelor pam pe care SSHD le activează pentru o conectare numai în tunel (fără comandă de utilizator) va actualiza de fapt această ștampilă de timp? Căutarea grupurilor utilizatorilor cu LDAP probabil nu este suficientă, dar ce este? Pot să fac cercetări pe partea Linux pentru a vedea ce face SSSD, dar nu am acces ușor la partea AD pentru a verifica dacă marca temporală se actualizează.

92
0 + 0
Semicolon avatar
drapel jo
Semicolon
Marca dvs. de timp nu se va actualiza niciodată atâta timp cât continuați să utilizați autentificarea cu cheie publică; nu efectuați o conectare de cont la AD. Utilizați o parolă sau GSSAPI/Kerberos și veți vedea creșterea marcajului de timp.
0
Răspunde
Puncte:1
Jevgenij Martynenko avatar Server
drapel us
Jevgenij Martynenko

În teorie atributul AD lastLogonTimestamp este actualizat după una dintre următoarele:

  • conectare interactivă sau NTLM în rețea
  • Legare simplă LDAP

Deci, acest lucru va depinde de mecanismul utilizat de serviciu (îmi pare rău, nu am experiență cu JumpHost sau SSSD).

Din experiența mea personală, unele servicii integrate cu AD prin LDAP își folosesc contul de serviciu cu succes, dar atribuie valoare nu este actualizat. Nu am avut șansa să-mi dau seama de ce se întâmplă exact acest lucru, dar din moment ce este o poveste diferită cu fiecare serviciu, cred că singurul pariu sigur este să încerci și să vezi singur.Atributul ar trebui să fie actualizat imediat la prima conectare. Ulterior, valoarea poate fi întârziată cu până la 14 zile.

Vă rugăm să verificați specificația tehnică a atributului pentru mai multe informatii.

Câteva lucruri de asigurat în caz de depanare:

  • AD are un istoric de erori atunci când atributul lastLogonTimestamp nu este actualizat când ar trebui. Ultima pe care mi-o amintesc a fost remediată acum 3 ani (KB4457127)
  • atribut AD msDS-LogonTimeSyncInterval trebuie să fie diferit de zero. In caz contrar lastLogonTimestamp nu va fi actualizat

Sper că acest lucru vă ajută

0 + 0
drapel lc
LHMathies
Acest lucru răspunde la întrebarea mea în măsura în care nu voi investiga mai departe, ci doar configurez un script de așteptare în cron pentru a vă autentifica cu o parolă.(Perioada scurtă de atenție, așteptarea a două săptămâni pentru a vedea rezultate este rețeta uitării). Un factor este că știu că legarea simplă a fost dezactivată în AD-ul nostru și SSSD utilizează Kerberos, așa că nu ne aflăm în niciunul dintre cele două cazuri care ar trebui să fie actualizate.
1
Răspunde
drapel lc
LHMathies
De asemenea, marcajele de timp se actualizează în mod clar pentru autentificări normale, deoarece administratorii AD îl folosesc pentru a șterge conturile inactive.
0
Răspunde
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.