SSHおよびActiveDirectory認証
この方法でユーザーを認証するようにLinux(およびSolaris)SSHサーバーをセットアップすることは可能ですか?
つまり、ユーザーjohnは、ActiveDirectoryのProject1_Developersグループのメンバーです。
サーバーA(Linuxを実行している場合、サーバーはLDAP経由でADにアクセスできます)のSSHサーバーLDAP(または他のモジュール)認証構成(root = Project1_Developers、Company_NIX_Adminsなど)に何かがあります。
johnがユーザー名「john」とドメインパスワードを使用してサーバーAに接続すると、サーバーはドメイン内のjohnのグループをチェックし、グループが「Project1_Developers」または「Company_NIX_Admins」の場合、root特権を持つrootとしてローカルに作成します。
また、Johnがログインできるすべてのサーバーにユーザー「john」を追加せずに、サーバー上に「root」とシステムユーザーのみを配置するという考え方もあります。
上記または上記に類似したものを作成する方法についてのヘルプまたはアイデアはありますか? ADを使用することをお勧めしますが、他の同様のソリューションも可能です。
p.s.ディスカッションを開かないでください。rootとしてssh経由でログインしても安全ですか、ありがとうございます:)
基本的に、ActiveDirectoryサーバーとのPAM-LDAPバインディングを介したLinuxPAM認証について言及しています。この場合、PAM(一元化された「認証コントローラー」ライブラリ)を介してADで認証するようにLinuxボックスを構成します。
このようにして、ジョンはADにある自分のuidとパスワードを使用してボックスにログインします。
さらに、ネットグループまたはKerberosを調べて、ジョンがその特定のボックスへの接続を許可されているかどうかを判断できます。
最後に、SSHについて具体的に言及したので、LDAP内にSSH用のジョンの認証証明書を格納できるLDAP用のLPKパッチを調べることにも興味があるかもしれません。
すべてのサーバーに(手動で)johnを追加する必要はありません。 LDAPを使用するようにNSS、PAM、およびSudoを構成します。