允许用户通过 ldap 和存储的公钥通过 ssh 连接到特定用户

Question 1

作者吉托莱特添加了一些有助于支持外部密钥存储和组成员信息的功能。搜索变更日志对于 LDAP。

要使用外部密钥存储您的sshd需要支持通常的.ssh/authorized_keys文件（这是文件告诉sshd跑步gl-auth 命令当一个吉托莱特用户登录）。

keydir关闭正常的 authkey 生成（基于存储库中的生成gitolite-admin）：
$GL_NO_SETUP_AUTHKEYS = 0;在您的.gitolite.rc.
定期（任何时候更改密钥、添加用户等）：
1. 将密钥库中的所有 SSH 密钥提取到某个方便的临时目录中（对密钥文件使用相同的名称，就像它们在正常的基于存储库的目录中一样keydir）。
2. 跑步gl-设置-authkeys具有吉托莱特重建其文件部分authorized_keys。

看引入的提交消息gl-设置-authkeys供作者自己描述。

使用外部定义的用户组有点棘手，因为它通常涉及在sshd和gl-auth 命令（组成员身份作为额外参数传递给gl-auth 命令）。看“用户组和 LDAP/类似工具”。

Answer

作者吉托莱特添加了一些有助于支持外部密钥存储和组成员信息的功能。搜索变更日志对于 LDAP。

要使用外部密钥存储您的sshd需要支持通常的.ssh/authorized_keys文件（这是文件告诉sshd跑步gl-auth 命令当一个吉托莱特用户登录）。

keydir关闭正常的 authkey 生成（基于存储库中的生成gitolite-admin）：
$GL_NO_SETUP_AUTHKEYS = 0;在您的.gitolite.rc.
定期（任何时候更改密钥、添加用户等）：
1. 将密钥库中的所有 SSH 密钥提取到某个方便的临时目录中（对密钥文件使用相同的名称，就像它们在正常的基于存储库的目录中一样keydir）。
2. 跑步gl-设置-authkeys具有吉托莱特重建其文件部分authorized_keys。

看引入的提交消息gl-设置-authkeys供作者自己描述。

使用外部定义的用户组有点棘手，因为它通常涉及在sshd和gl-auth 命令（组成员身份作为额外参数传递给gl-auth 命令）。看“用户组和 LDAP/类似工具”。

Question 2

如果您想尝试一些不同寻常的方法，可以将 .ssh/authorized_keys2 设为命名管道，然后编写一个脚本/程序来查询 LDAP、执行适当的过滤，然后输出 authorized_keys 密钥的内容。我建议使用 authorized_keys2，因为您可能已经在使用 authorized_keys 了。

您必须小心使用脚本（注意阻止写入，知道何时进行新的查询等），但如果您做得正确，它每次都会给您正确的答案。

Answer

如果您想尝试一些不同寻常的方法，可以将 .ssh/authorized_keys2 设为命名管道，然后编写一个脚本/程序来查询 LDAP、执行适当的过滤，然后输出 authorized_keys 密钥的内容。我建议使用 authorized_keys2，因为您可能已经在使用 authorized_keys 了。

您必须小心使用脚本（注意阻止写入，知道何时进行新的查询等），但如果您做得正确，它每次都会给您正确的答案。

允许用户通过 ldap 和存储的公钥通过 ssh 连接到特定用户

答案1

答案2

相关内容