我已设置 Redhat 主机来对ssh会话的 AD 用户进行身份验证。一切都按预期工作,但是,有一个问题,用户凭据被缓存在某处。
之上首次登录使用 时ssh,系统会要求用户输入密码,但是,稍后(第二次第三次尝试等),每当用户启动 ssh 连接时,ssh connection甚至不会提示输入密码,就会建立连接。这可能存在安全风险。
如何防止缓存凭据并让用户每次想要连接到 RHEL 服务器时输入密码。
/etc/sssd/sssd.conf
[nss]
filter_groups = root
filter_users = root
reconnection_retries = 3
[pam]
reconnection_retries = 3
[domain/example.com]
ad_domain = example.com
krb5_realm = EXAMPLE.COM
realmd_tags = manages-system joined-with-samba
cache_credentials = false
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = True
use_fully_qualified_names = True
fallback_homedir = /home/%u@%d
access_provider = simple
simple_allow_groups = Domain Admins
答案1
这不是 SSSD 缓存凭据,而是 SSH 使用 GSSAPI 或公钥记录您的日志。即使 SSSD 缓存凭据,它也会始终提示您输入密码。
答案2
我发现了这个问题,SSH 会话凭证被缓存在我的终端中。MobaX freeware正在使用"save password"默认值yes.清除了密码库。
¯\_(ツ)_/¯ ¯\_(ツ)_/¯