Автор Тема: Обсуждение статьи "Простейшая SSO для SSH"  (Прочитано 5597 раз)

egor

  • Администратор
  • Старожил
  • *****
  • Сообщений: 456
    • Просмотр профиля
Оставляйте свои замечания и комментарии к статье Егора Левинца "Простейшая SSO для SSH" (http://pro-ldap.ru/art/levintsa/20161229-sso-ssh/)

marawu

  • Пользователь
  • **
  • Сообщений: 76
  • !
    • Просмотр профиля
Re: Обсуждение статьи "Простейшая SSO для SSH"
« Ответ #1 : 15 Ноябрь 2017, 09:22:06 »
Можно избавиться от скрипта, если использовать sssd. Мы протестили на Debian 8,9 и на centOS 7, всё работает. Единственное, не получилось настроить создание хомяка в Debian через sssd, поэтому приходится по старинке править pam файл. Но если использовать к примеру ansible для настройки, то это облегчает работу. НО!, у sssd есть преимущество - оно сразу умеет в sudo. Вот так примерно выглядит маппинг атрибутов:



ldap_user_name = uid
ldap_user_shell = loginShell
ldap_user_home_directory = homeDirectory
ldap_user_ssh_public_key = sshPublicKey
ldap_access_filter = (!(memberof=cn=groupname,ou=Groups,dc=domain,dc=ru))
ldap_group_member = memberuid


И вот так выглядит настройка ssh:



AuthorizedKeysCommand /usr/bin/sss_ssh_authorizedkeys
AuthorizedKeysCommandUser sssd


Для нас это лучше тем, что не нужно в скрипте указывать данные для биндинга к ldap или открывать к ним анонимный доступ, а учетные данные берутся из sssd.conf


Может кому пригодится

egor

  • Администратор
  • Старожил
  • *****
  • Сообщений: 456
    • Просмотр профиля
Re: Обсуждение статьи "Простейшая SSO для SSH"
« Ответ #2 : 15 Ноябрь 2017, 11:34:01 »
Спасибо за информацию!

И вот так выглядит настройка ssh:
AuthorizedKeysCommand /usr/bin/sss_ssh_authorizedkeys
AuthorizedKeysCommandUser sssd

/usr/bin/sss_ssh_authorizedkeys -- это стандартный скрипт от sssd?

marawu

  • Пользователь
  • **
  • Сообщений: 76
  • !
    • Просмотр профиля
Re: Обсуждение статьи "Простейшая SSO для SSH"
« Ответ #3 : 29 Ноябрь 2017, 15:53:37 »
/usr/bin/sss_ssh_authorizedkeys -- это стандартный скрипт от sssd?

Да

# yum provides sss_ssh_authorizedkeys

sssd-common-1.15.2-50.el7.x86_64 : Common files for the SSSD
Repo        : base
Matched from:
Filename    : /usr/bin/sss_ssh_authorizedkeys



sssd-common-1.15.2-50.el7_4.2.x86_64 : Common files for the SSSD
Repo        : updates
Matched from:
Filename    : /usr/bin/sss_ssh_authorizedkeys



sssd-common-1.15.2-50.el7_4.6.x86_64 : Common files for the SSSD
Repo        : updates
Matched from:
Filename    : /usr/bin/sss_ssh_authorizedkeys



 apt-file search sss_ssh_authorizedkeys
sssd-common: /usr/bin/sss_ssh_authorizedkeys
sssd-common: /usr/share/man/man1/sss_ssh_authorizedkeys.1.gz
« Последнее редактирование: 29 Ноябрь 2017, 16:01:52 от marawu »