înregistrare Logare
Puncte:0
okapi avatar Server

Introducerea acreditărilor .k5login în ldap cu freeipa

drapel us
okapi

Pe sistemele pe care le administrez, pe lângă conturile de utilizator uman, avem o serie de conturi asociate cu roluri, software și date specifice.

Prin folosirea unui .k5login fișier în directoarele de acasă, este posibil să utilizați ssh pentru a vă conecta la o altă mașină ca alt utilizator. Cu freeipa este posibil să adăugați reguli sudo, astfel încât membrii unui anumit grup să se poată schimba la un anumit cont de rol. Dar aș dori să activez aceeași funcționalitate direct cu ssh. Acest lucru este mai convenabil în multe cazuri, mai ales în cazul lucrurilor precum redirecționarea X. Este posibil să aveți datele care se află altfel în .k5login fișiere stocate direct în LDAP prin freeipa?

De asemenea, aș fi deschis și altor soluții posibile, cum ar fi compunerea cheilor_autorizate SSH (care pare să fie în LDAP) din cheile publice ale utilizatorilor cărora li se permite accesul.

28
0 + 0
Puncte:1
avatar Server
drapel ng
abbra

Nu este implementat nicăieri, deci nu este disponibil. Cu toate acestea, aș recomanda să nu utilizați această abordare. În afară de comoditate, ați pierde auditul acțiunilor efectuate. Utilizarea regulilor sudo v-ar permite totuși să păstrați accesul la redirecționarea X (este aproape un acces socket la ceva reclamat printr-o variabilă de mediu). Ceea ce obțineți, totuși, este un set de evenimente auditate pentru un astfel de acces.

Cu SSSD în Fedora 35+ sau RHEL 8.5+, obțineți și modulul PAM pam_sss_gss.so care vă permite să vă autentificați la serviciile PAM cu bilete Kerberos pe care le aveți deja, așa că acest lucru ar putea face ca acesta să funcționeze bine în cazul în care nu aveți parole, dar utilizați PKINIT (carduri inteligente) în schimb.

Pe scurt, în timp ce implementarea accesului la chei SSH pe bază de grup ar putea fi tentantă, în opinia mea este mai importantă menținerea disponibilă a auditului de conectare și a evenimentelor de tranziție a rolurilor.

0 + 0
Puncte:0
avatar Server
drapel fr
Tomek

Nu cunosc vreo modalitate de a partaja .k5login folosind ldap.

Este totuși posibil să se deducă chei_autorizate cum ar fi funcționalitatea folosind ldap. Dacă utilizați sssd, aruncați o privire la sss_ssh_authorizedkeys comanda (pachetul sssd-common pe AlmaLinux 8.5) și AuthorizedKeysCommand opțiunea sshd_config.

Pentru funcționalitatea ldap simplă, aruncați o privire la ssh-ldap-helper program.Este o parte a pachetului openssh-ldap (aceeași distribuție).

0 + 0
okapi avatar
drapel us
okapi
Mulțumesc, da, este posibil să adăugați chei publice ssh utilizatorilor în freeipa. Lucrul pe care nu îl găsesc este orice modalitate de a pune mai multe împreună, astfel încât rularea sss_ssh_authorizedkeys să returneze o listă generată de la utilizatorii care sunt membri ai unui grup. Trebuie să păstrez liste de chei împreună cu grupurile este ceea ce vreau să evit.
0
Răspunde
drapel fr
Tomek
Nu cred că acest lucru este posibil în prezent folosind instrumentele pe care le cunosc.Probabil că puteți realiza acest lucru scriind propria dvs. AuthorizedKeysCommand pentru a furniza lista de chei ssh acceptabile pe baza unor criterii.
1
Răspunde
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.