Я хочу настроить ssh-сервер для наших пользователей. Наши пользователи проходят аутентификацию на нашем сервере ldap с шифрованием Kerberos, после чего они получают доступ к своим домашним каталогам. Сервер ssh должен слушать весь мир, потому что наши пользователи могут быть где угодно. Итак, мы решили, что мы будем разрешать вход только с ключом и настраивать fail2ban довольно строго.
Проблема с аутентификацией ключа заключается в том, что он не работает с зашифрованными домашними каталогами. Поэтому я переместил аутентификацию ключей за пределы домашнего каталога пользователей с помощью опции "AuthorizedKeysFile" в sshd_config. Проблема в том, что ... пользователь не получает свой домашний каталог при аутентификации по ключу ... конечно ... они не запрашивают принципала Kerberos. Как настроить ssh, чтобы он выполнял аутентификацию pam после успешного входа в систему с ключом, чтобы они тоже получали свои домашние каталоги? У кого-нибудь есть хорошее решение для этого?