我想为我们的用户设置一个 ssh 服务器。我们的用户使用 Kerberos 加密向我们的 ldap 服务器进行身份验证,然后他们就可以访问自己的主目录。ssh 服务器必须监听整个世界,因为我们的用户可能在任何地方。因此我们决定,我们只允许使用密钥登录,并严格配置 fail2ban。
密钥认证的问题在于它不适用于加密的主目录。因此,我使用 sshd_config 中的“AuthorizedKeysFile”选项将密钥认证移到用户主目录之外。那么问题是...用户在密钥认证时无法获得主目录...当然...他们不请求 kerberos 主体。我该如何配置 ssh,以便在密钥登录成功后进行 pam 认证,这样他们也能获得主目录?有人对此有好的解决办法吗?
答案1
使用最新版本的 OpenSSH,您可以要求多种形式的用户身份验证 (AuthenticationMethods)。使用它来要求公钥和键盘交互;后者使用 ChallengeResponseAuthentication 和 UsePAM 配置。然后安排 sshd 的 PAM 策略 (通常是 /etc/pam.d/sshd) 以使用将为用户 kinit 的 PAM 模块,例如 pam_krb5。