Аутентификация по SSH через клиент LDAP

Аутентификация по SSH через клиент LDAPПосле настройки сервера вы можете настроить вход в систему по записям LDAP, обеспечив таким образом централизованную  аутентификацию. Вот что для этого нужно. В первую очередь включить аутентификацию при помощи LDAP путем конфигурации записи соответствующим образом, а затем настроить клиент LDAP. После этого можно входить по SSH с аутентификацией через LDAP.

Предварительная подготовка

Перед настройкой клиента нужно обеспечить возможность входа в систему по SSH. Для этого необходимо задать записи на сервере LDAP соответствующие атрибуты:

Обратите внимание: нужно задать классы объекта posixAccount и shadowAccount, а также поля uidNumber, gidNumber, loginShell и homeDirectory. Если этих полей нет, то система не знает, как обслуживать такого пользователя, и по SSH с этой учетной записью вы войти не сможете.

После создания или изменения существующей учетной записи можно переходить уже непосредственно к настройке клиента.

Установка пакетов

Установить пакеты можно командой:

По зависимостям установится еще несколько пакетов.

Конфигурация

После установки автоматически запустится конфигурация пакетов и будут запрошены настройки. Сначала будет сконфигурирован пакет libnss-ldap.

Аутентификация по SSH через клиент LDAPВводим адрес сервера LDAP, нажимаем ОК.

Аутентификация по SSH через клиент LDAPВводим базовое имя для поиска. В нашем случае «dc=mydomain,dc=com». Нажимаем ОК.

Аутентификация по SSH через клиент LDAP

Выбираем 3 версию протокола LDAP, нажимаем ОК.

Аутентификация по SSH через клиент LDAP

Выбираем учетную запись, которая будет использоваться для запросов с привелегиями root. В нашем случае это «cn=admin,dc=mydomain,dc=com». Нажимаем ОК.

Аутентификация по SSH через клиент LDAP

Теперь задаем пароль для указанной ранее учетной записи и нажимаем ОК.

Аутентификация по SSH через клиент LDAP

Видим сообщение о том, что необходимо будет изменить файл /etc/nsswitch.conf. Нажимаем ОК. После этого запускается настройка пакета libpan-ldap.

Аутентификация по SSH через клиент LDAP

 

На вопрос о разрешении учетной записи вести себя как root отвечаем «Нет».

Аутентификация по SSH через клиент LDAP

И на последний вопрос отвечаем «Нет».

Теперь нужно отредактировать файл /etc/nsswitch.conf. В нем нужно строки

изменить следующим образом:

После этого перезапустить сервис nscd

Теперь нужно в конец файла /etc/pam.d/common-session в самый конец добавить строчку:

И всё!

Вход в систему через клиент LDAP

Теперь можно входить по SSH:

Вот так будет выглядеть успешный вход в систему. Как вы видите, при входе создается домашняя директория пользователя. И теперь можно работать с системой.

Аутентификация по SSH через клиент LDAP: 2 комментария

  1. Александр

    Настроил все как написано в статье на чистый Debian8, при попытке подключения к LDAP-серверу по ssh выдает ошибку «Permision denied». В логах сервера /var/log/auth.log:
    Invalid user testuser from 192.168.0.20
    input_userauth_request: invalid user testuser [preauth]
    pam_unix(sshd:auth): check pass; user unknown
    pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.0.20
    Failed password for invalid user testuser from 192.168.0.20 port 41768 ssh2

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *