ใส่ข้อมูลประจำตัว .k5login ใน ldap ด้วย freeipa

ในระบบที่ฉันดูแล นอกเหนือจากบัญชีผู้ใช้ที่เป็นมนุษย์แล้ว เรายังมีบัญชีจำนวนหนึ่งที่เกี่ยวข้องกับบทบาท ซอฟต์แวร์ และข้อมูลเฉพาะ

โดยใช้ก .k5เข้าสู่ระบบ ไฟล์ในโฮมไดเร็กทอรี คุณสามารถใช้ ssh เพื่อเชื่อมต่อกับเครื่องอื่นในฐานะผู้ใช้อื่นได้ ด้วย freeipa คุณสามารถเพิ่มกฎ sudo เพื่อให้สมาชิกของกลุ่มเฉพาะสามารถเปลี่ยนเป็นบัญชีบทบาทเฉพาะได้ แต่ฉันต้องการเปิดใช้งานฟังก์ชันเดียวกันโดยตรงกับ ssh วิธีนี้จะสะดวกกว่าในหลาย ๆ กรณี โดยเฉพาะอย่างยิ่งเมื่อเกี่ยวข้องกับการส่งต่อ X เป็นไปได้ไหมที่จะมีข้อมูลที่เป็นอย่างอื่นใน .k5เข้าสู่ระบบ ไฟล์ที่จัดเก็บไว้ใน LDAP โดยตรงผ่าน freeipa?

ฉันยังเปิดรับโซลูชันอื่นๆ ที่เป็นไปได้ เช่น การเขียน SSH authorized_keys (ซึ่งดูเหมือนจะอยู่ใน LDAP) จากคีย์สาธารณะของผู้ใช้ที่ได้รับอนุญาตให้เข้าถึง

มันไม่ได้ถูกนำไปใช้งานทุกที่จึงไม่สามารถใช้ได้ อย่างไรก็ตาม ฉันไม่แนะนำให้ใช้วิธีนี้ นอกเหนือจากความสะดวกสบายแล้ว คุณจะสูญเสียการตรวจสอบการกระทำที่ทำไป การใช้กฎ sudo จะยังคงช่วยให้คุณเข้าถึงการส่งต่อ X ได้อยู่ดี (มันเป็นการเข้าถึงซ็อกเก็ตไปยังบางสิ่งที่โฆษณาผ่านตัวแปรสภาพแวดล้อม) อย่างไรก็ตาม สิ่งที่คุณได้รับคือชุดเหตุการณ์ที่ตรวจสอบแล้วสำหรับการเข้าถึงดังกล่าว

ด้วย SSSD ใน Fedora 35+ หรือ RHEL 8.5+ คุณยังได้รับ pam_sss_gss.so โมดูล PAM ที่อนุญาตให้ตรวจสอบบริการ PAM ด้วยตั๋ว Kerberos ที่คุณมีอยู่แล้ว ดังนั้นสิ่งนี้อาจทำให้ทำงานได้ดีในกรณีที่คุณไม่มีรหัสผ่านแต่ใช้ PKINIT (สมาร์ทการ์ด) แทน

กล่าวโดยย่อ ในขณะที่การใช้การเข้าถึงคีย์ SSH แบบกลุ่มอาจดึงดูดใจ การรักษาการตรวจสอบการเข้าสู่ระบบและเหตุการณ์การเปลี่ยนบทบาทให้พร้อมใช้งานนั้นสำคัญกว่าในความคิดของฉัน

ฉันไม่ทราบถึงวิธีการแบ่งปัน .k5login โดยใช้ ldap

อย่างไรก็ตามเป็นไปได้ที่จะได้รับ อนุญาต_คีย์ เช่น ฟังก์ชันที่ใช้ ldap หากคุณใช้ sssd ลองดูที่ sss_ssh_authorizedkeys คำสั่ง (แพ็คเกจ sssd-common บน AlmaLinux 8.5) และ AuthorizedKeysคำสั่ง ตัวเลือก sshd_config

สำหรับฟังก์ชัน ldap ธรรมดา ลองดูที่ ssh-ldap-ตัวช่วย โปรแกรม.เป็นส่วนหนึ่งของแพ็คเกจ opensh-ldap (distro เดียวกัน)