在没有本地用户的情况下使用OpenSSH Server

debugcn 发表于 Dev

戴维·莫康·邦德

目前，我已经注意到当我将OpenSSH Server与PAM一起使用时，例如RADIUS，虽然我可以使用户通过PAM成功进行身份验证，但是我仍然需要/ etc / passwd中的本地用户帐户，例如，在框中添加了useradd。

OpenSSH中是否有任何设置可以说不需要本地用户是/ etc / passwd。而是通过一些默认设置来初始化shell / home dir / session？我无法找到任何在线方式。

达武德

中的配置/etc/nsswitch.conf设置了查找用户的顺序。您可以检查getent passwd $USER用户的解析方式。用户无需具有本地帐户即可登录。将passwd和group数据库绑定/etc/nsswitch.conf到ldap，nis和/或sss，并在堆栈中使用适当的PAM模块。

使用SSSD和freeIPA的用例，其中用户，组，登录shell，sudo规则，SELinux映射等存储在freeIPA管理的目录中。请注意，SSHD使用GSSAPI对kerberos进行身份验证，该数据库的数据库也存储在该目录中：


 # cat /etc/krb5.conf
 [logging]
  default = FILE:/var/log/krb5libs.log
  kdc = FILE:/var/log/krb5kdc.log
  admin_server = FILE:/var/log/kadmind.log
 [libdefaults]
  default_realm = DOMAIN.COM
  dns_lookup_realm = false
  dns_lookup_kdc = true
  rdns = false
  ticket_lifetime = 24h
  forwardable = yes
 [realms]
  DOMAIN.COM = {
   kdc = ipaserver.domain.com:88
   master_kdc = ipaserver.domain.com:88
   admin_server = ipaserver.domain.com:749
   default_domain = domain.com
   pkinit_anchors = FILE:/etc/ipa/ca.crt
 }
 [domain_realm]
  .crapsteak.org = DOMAIN.COM
  crapsteak.org = DOMAIN.COM
 [dbmodules]
   DOMAIN.COM = {
     db_library = ipadb.so
   }

# grep sss /etc/nsswitch.conf
 passwd:     files sss
 shadow:     files sss
 group:      files sss
 services:   files sss
 netgroup:   files sss
 automount:  files sss

# cat /etc/sssd/sssd.conf
 [domain/domain.com]
 cache_credentials = True
 krb5_store_password_if_offline = True
 ipa_domain = domain.com
 id_provider = ipa
 auth_provider = ipa
 access_provider = ipa
 ipa_hostname = somehost.domain.com
 chpass_provider = ipa
 ipa_server = ipaserver.domain.com
 ldap_tls_cacert = /etc/ipa/ca.crt
 [sssd]
 services = nss, pam, ssh
 config_file_version = 2
 domains = domain.com

# grep sss /etc/pam.d/{password,system}-auth-ac
 /etc/pam.d/password-auth-ac:auth        sufficient    pam_sss.so use_first_pass
 /etc/pam.d/password-auth-ac:account     [default=bad success=ok user_unknown=ignore] pam_sss.so
 /etc/pam.d/password-auth-ac:password    sufficient    pam_sss.so use_authtok
 /etc/pam.d/password-auth-ac:session     optional      pam_sss.so
 /etc/pam.d/system-auth-ac:auth        sufficient    pam_sss.so use_first_pass
 /etc/pam.d/system-auth-ac:account     [default=bad success=ok user_unknown=ignore] pam_sss.so
 /etc/pam.d/system-auth-ac:password    sufficient    pam_sss.so use_authtok
 /etc/pam.d/system-auth-ac:session     optional      pam_sss.so

# grep GSS /etc/ssh/sshd_config
 GSSAPICleanupCredentials yes
 GSSAPIAuthentication yes

本文收集自互联网，转载请注明来源。

如有侵权，请联系[email protected] 删除。

编辑于2021-06-9

我来说两句

0条评论

登录后参与评论

来自分类Dev

Related 相关文章

文章

在没有本地用户的情况下使用OpenSSH Server

在没有本地用户的情况下使用OpenSSH Server

在没有护照的情况下使用 Hyperledger Composer REST Server 多用户

XRDP：如何在没有本地用户登录的情况下获得远程终端服务？

如何在没有电子邮件请求的情况下创建本地用户

Zuul Edge Server是否可以在没有Eureka / Ribbon的情况下使用

是否可以在没有Tableau Desktop的情况下使用Tableau Server？

如何在没有GitHub的情况下使用Spring Cloud Server

可以在没有SQL Server数据库的情况下使用SSRS报告吗？

SQL Server：具有NO LOCK的VIEW但没有NO LOCK的情况下被调用

Ubuntu Server在没有Apache的情况下安装PHP 7

在没有主键的情况下更新SQL Server中的重复项

如何在没有ODBC的情况下从C ++连接到SQL Server？

在没有日志的情况下进行SQL SERVER数据库备份

如何在没有EntityDataSource的情况下将数据从SQL Server获取到DevExpress FileManager

SQL Server-在没有游标的情况下将值分割为数月

如何在没有ODBC的情况下从C ++连接到SQL Server？

Ubuntu Server 16.10-在没有Internet的情况下安装WiFi驱动程序

FireDac可以在没有ODBC的情况下连接到SQL Server吗？

在没有X Server的情况下制作简单的图形程序（svgalib的替代品）

Ubuntu Server 17.04在没有桌面环境的情况下启用numlock

无法在没有 phx.server 运行的情况下运行 cron 任务

在没有安装的情况下使用本地Gem源

是否可以在没有SQL Server的本地副本的情况下在Visual Studio 2013中开发报表？

在SQL Server中只有一列的情况下没有聚合的数据透视表

允许用户在没有密码的情况下使用sudo

在没有实体框架和SQL Server的情况下，新的ASP.NET MVC身份框架是否可以工作？

我可以在没有ca-server的情况下将REST API部署到Hyperledger Fabric吗？

在没有外部工具的情况下将表从SQL Server 2008 R2导出到文件

在没有实体框架和SQL Server的情况下，新的ASP.NET MVC身份框架是否可以工作？

如何在没有安装的情况下双重启动Windows 10和Windows Server