Я хочу настроить ssh-сервер для наших пользователей. Наши пользователи проходят аутентификацию на нашем сервере ldap с шифрованием Kerberos, после чего они получают доступ к своим домашним каталогам. Сервер ssh должен слушать весь мир, потому что наши пользователи могут быть где угодно. Итак, мы решили, что мы будем разрешать вход только с ключом и настраивать fail2ban довольно строго.

Проблема с аутентификацией ключа заключается в том, что он не работает с зашифрованными домашними каталогами. Поэтому я переместил аутентификацию ключей за пределы домашнего каталога пользователей с помощью опции "AuthorizedKeysFile" в sshd_config. Проблема в том, что ... пользователь не получает свой домашний каталог при аутентификации по ключу ... конечно ... они не запрашивают принципала Kerberos. Как настроить ssh, чтобы он выполнял аутентификацию pam после успешного входа в систему с ключом, чтобы они тоже получали свои домашние каталоги? У кого-нибудь есть хорошее решение для этого?

|источник

1 ответ1

0

В последних версиях OpenSSH вам может потребоваться несколько форм аутентификации пользователя (AuthenticationMethods). Используйте это, чтобы требовать и publickey и интерактивную клавиатуру; последний вы настраиваете с помощью ChallengeResponseAuthentication и UsePAM. Затем настройте политику PAM для sshd (часто /etc/pam.d/sshd), чтобы использовать модуль PAM, который будет взаимодействовать для пользователя, например, pam_krb5.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .