使用 LDAP/KeyClock 进行身份验证以访问 SFTP 服务

使用 LDAP/KeyClock 进行身份验证以访问 SFTP 服务

我的 SFTP 服务器正在 K8S pod 中运行。我已经创建了服务和入口来从远程访问 SFTP 服务。到目前为止,它按预期工作。我正在尝试通过使用 SSSD 集成 LDAP 服务器来设置身份验证以访问 SFTP 服务。在日志中我可以看到 SSSD 服务已成功启动,但是当我尝试从 winscp 和其他客户端连接时,身份验证不起作用。我可以看到请求到达 LDAP 服务器,但身份验证不起作用。以下是 sssd 配置。

[sssd]
domains = abc.se
config_file_version = 2
services = nss, pam,ssh
 
#domains = abc.se
#default_domain_suffix = abc.se
 
[ssh]
 
[domain/abc.se]
id_provider = ldap
access_provider = simple
#ldap_schema = rfc2307
ldap_search_base = dc=abc,dc=se
#ldap_id_use_start_tls = True
#ldap_tls_reqcert = allow
ldap_uri = ldap://abc.se:389/
ldap_default_bind_dn = CN=xyz,OU=CA,OU=SvcAccount,OU=P001,OU=ID,OU=Data,DC=abc,DC=se
ldap_default_authtok_type = password
ldap_default_authtok = xxxxxxx
krb5_realm = abc.se
auth_provider = ldap
chpass_provider = ldap
cache_credentials = True
entry_cache_timeout = 0
enumerate = True
ldap_user_search_base = OU=User,OU=P001,OU=ID,OU=Data,DC=ericsson,DC=se
ldap_group_search_base = OU=IDM,OU=P001,OU=GRP,OU=Data,DC=ericsson,DC=se
ldap_user_name = uid
ldap_user_home_directory = homeDirectory
ldap_user_object_class = posixAccount
#ldap_user_object_class = ipaSshUser
ldap_group_object_class = posixGroup
ldap_group_member = memberUid
 
[pam]
offline_credentials_expiration = 2
offline_failed_login_attempts = 3
reconnection_retries = 3
offline_failed_login_delay = 5
 
[nss]
filter_groups = root
filter_users = root
reconnection_retries = 3

这里使用 ldap 端口 389,无需加密即可工作。我尝试过解决方案,博客中有说明:https://therubyist.org/2020/04/03/ldap-in-containers。但是这个解决方案对我来说也不起作用。请建议一个好的方法,让我知道如何使用 LDAP 服务器验证我的 SFTP 服务器。如果 LDAP 无法验证,我能否以某种方式使用 keyclock。

相关内容