Ssh/Domain: различия между версиями

Материал из ALT Linux Wiki
< Ssh
Нет описания правки
м (altSecurityIdentities)
 
(не показаны 2 промежуточные версии этого же участника)
Строка 1: Строка 1:
== Предназначение ==
== Предназначение ==
Хранение публичных ssh ключей в ldap (samba/ad) при использовании sssd.
Хранение публичных ssh ключей в ldap (samba/ad) при использовании sssd.
sssd может получать информацию о правилах [[Sudo/Domain|sudo]], или ssh ключах из LDAP.  
 
SSSD может получать информацию о правилах [[Sudo/Domain|sudo]], или ssh ключах из LDAP.  


== Настройка ==
== Настройка ==
Строка 48: Строка 49:
== Использование ==
== Использование ==
Теперь заходя на хосты, где настроен sssd на получение ключей из LDAP, аутентификация пользователя к которого указан ключ будет происходить по ключу.
Теперь заходя на хосты, где настроен sssd на получение ключей из LDAP, аутентификация пользователя к которого указан ключ будет происходить по ключу.
== Особенности ==
Хотя в аттрибуте <tt>altSecurityIdentities</tt> можно хранить несколько строк, читаться будет только 1 ключ


== Полезные ссылки ==
== Полезные ссылки ==
* [[Sudo/Domain|sudo]] в ldap
* [[Sudo/Domain|sudo]] в ldap

Текущая версия от 15:09, 21 октября 2024

Предназначение

Хранение публичных ssh ключей в ldap (samba/ad) при использовании sssd.

SSSD может получать информацию о правилах sudo, или ssh ключах из LDAP.

Настройка

В описании домена в /etc/sssd/sssd.conf добавить сервис ssh и имя поля где хранится ключ

[sssd]
services = nss,pam,sudo,ssh

[domain/TEST.ALT]
...
ldap_user_extra_attrs = altSecurityIdentities:altSecurityIdentities
ldap_user_ssh_public_key = altSecurityIdentities
ldap_use_tokengroups = True

В конфиге /etc/openssh/sshd_config, определить директивы AuthorizedKeysCommand*

AuthorizedKeysCommand  /usr/bin/sss_ssh_authorizedkeys %u
AuthorizedKeysCommandUser root

Перезапустить сервисы sssd, sshd

Хранение ключей

У пользователя есть поле altSecurityIdentities, в него нужно поместить публичный ключ.

Сделать это можно

  • в консоли, через samba-tool user edit domainuser
  • через ldif файл и запуск ldapmodify
 # cat ssh.ldif
 dn: CN=domainuser3,OU=TestUsers,DC=test,DC=alt
 changetype: modify
 add: altSecurityIdentities
 altSecurityIdentities: ssh-ed25519 AAAAC3NzaC1lZDI1NTHJUWQWAID7GcueJQ18pIPiBlZ45JKSbl3G/amJAVuKJ4UUUnGOf domainuser3@pc
# ldapmodify -Y GSSAPI -N -H ldap://dc.test.alt -f ./ssh.ldif 
SASL/GSSAPI authentication started
SASL username: administrator@TEST.ALT
SASL SSF: 256
SASL data security layer installed.
modifying entry "CN=domainuser3,OU=TestUsers,DC=test,DC=alt"
  • либо в графике, через admc или RSAT

Sssd ssh.png

Использование

Теперь заходя на хосты, где настроен sssd на получение ключей из LDAP, аутентификация пользователя к которого указан ключ будет происходить по ключу.

Особенности

Хотя в аттрибуте altSecurityIdentities можно хранить несколько строк, читаться будет только 1 ключ

Полезные ссылки