Интересный кейс на предмет разрешения.

Question

У нас есть два пользователя. Том и Джим. Система с использованием krb5 и sldap.

Tom$ ssh machine1.somecompany.com
Password: 
Permission denied (publickey,gssapi-with-mic,keyboard-interactive).

//////

Jim: ssh machine1.somecompany.com
Password:
sucesss

Jim@machine1$
Jim@machine1$ id Jim
uid=1178(Jim) gid=1178(Jim) groups=1178(Jim),0(wheel),60002(AAA),60006(BBB),60007(CCC)

Jim@machine1$ id Tom
uid=1178(Tom) gid=1178(Tom) groups=1178(Tom),0(wheel),60002(AAA)

//////
Tom$ ssh machine2.somecompany.com
Password: 
success!
Tom@machine2$ ssh machine1.somecompany.com
Password:
success!
Tom@machine1$

Таким образом, Джим может напрямую подключиться к машине 1; и Джим принадлежит к двум дополнительным группам ВВВ и ССС по сравнению с Томом. Том не мог напрямую подключиться к машине1. Тем не менее, Том может ssh в machine2, а затем ssh в machine1.

Что это говорит вам о системе? Если я добавлю Тома вручную в группу BBB и CCC, то сможет ли он напрямую подключиться к ssh на machine1? Если я удалю Джима из BBB и CCC, сможет ли Джим напрямую подключиться к ssh на machine1?

Answer 1

У вас недостаточно информации, чтобы знать.

OpenSSH позволяет устанавливать ограничения на вход в систему (например, «необходимо использовать аутентификацию на основе ключей») для каждого пользователя, группы или удаленного компьютера, а также для других критериев, которые, вероятно, не относятся к делу. Чтобы выяснить это, вам нужно посмотреть файл конфигурации демона (/etc/ssh/sshd_config) и, возможно, файлы конфигурации для каждого пользователя (~/.ssh/*).