Форум проекта Pro-LDAP.ru

Обсуждение материалов проекта Pro-LDAP.ru => Обсуждение переводов и статей => Тема начата: egor от 29 Декабрь 2016, 14:24:28

Название: Обсуждение статьи "Простейшая SSO для SSH"
Отправлено: egor от 29 Декабрь 2016, 14:24:28: Оставляйте свои замечания и комментарии к статье Егора Левинца "Простейшая SSO для SSH" (http://pro-ldap.ru/art/levintsa/20161229-sso-ssh/)
Название: Re: Обсуждение статьи "Простейшая SSO для SSH"
Отправлено: marawu от 15 Ноябрь 2017, 09:22:06: Можно избавиться от скрипта, если использовать sssd. Мы протестили на Debian 8,9 и на centOS 7, всё работает. Единственное, не получилось настроить создание хомяка в Debian через sssd, поэтому приходится по старинке править pam файл. Но если использовать к примеру ansible для настройки, то это облегчает работу. НО!, у sssd есть преимущество - оно сразу умеет в sudo. Вот так примерно выглядит маппинг атрибутов:

Код: [Выделить]
ldap_user_name = uid ldap_user_shell = loginShell ldap_user_home_directory = homeDirectory ldap_user_ssh_public_key = sshPublicKey ldap_access_filter = (!(memberof=cn=groupname,ou=Groups,dc=domain,dc=ru)) ldap_group_member = memberuid

И вот так выглядит настройка ssh:

Код: [Выделить]
AuthorizedKeysCommand /usr/bin/sss_ssh_authorizedkeys AuthorizedKeysCommandUser sssd

Для нас это лучше тем, что не нужно в скрипте указывать данные для биндинга к ldap или открывать к ним анонимный доступ, а учетные данные берутся из sssd.conf

Может кому пригодится
Название: Re: Обсуждение статьи "Простейшая SSO для SSH"
Отправлено: egor от 15 Ноябрь 2017, 11:34:01: Спасибо за информацию!

Цитата: marawu от 15 Ноябрь 2017, 09:22:06
И вот так выглядит настройка ssh:
Код: [Выделить]
AuthorizedKeysCommand /usr/bin/sss_ssh_authorizedkeys AuthorizedKeysCommandUser sssd

/usr/bin/sss_ssh_authorizedkeys -- это стандартный скрипт от sssd?
Название: Re: Обсуждение статьи "Простейшая SSO для SSH"
Отправлено: marawu от 29 Ноябрь 2017, 15:53:37: Цитата: egor от 15 Ноябрь 2017, 11:34:01
/usr/bin/sss_ssh_authorizedkeys -- это стандартный скрипт от sssd?

Да

Код: [Выделить]
# yum provides sss_ssh_authorizedkeys sssd-common-1.15.2-50.el7.x86_64 : Common files for the SSSD Repo : base Matched from: Filename : /usr/bin/sss_ssh_authorizedkeys sssd-common-1.15.2-50.el7_4.2.x86_64 : Common files for the SSSD Repo : updates Matched from: Filename : /usr/bin/sss_ssh_authorizedkeys sssd-common-1.15.2-50.el7_4.6.x86_64 : Common files for the SSSD Repo : updates Matched from: Filename : /usr/bin/sss_ssh_authorizedkeys

Код: [Выделить]
apt-file search sss_ssh_authorizedkeys sssd-common: /usr/bin/sss_ssh_authorizedkeys sssd-common: /usr/share/man/man1/sss_ssh_authorizedkeys.1.gz