红帽 4/5:
好的,事情是这样的。我需要锁定我的服务器,只允许用户通过他们的 ldap 帐户登录。每个人都使用一个应用程序帐户,但我更希望他们使用他们的 LDAP 帐户,然后通过 sudo 转到应用程序用户。我明白了这一点,但是,我们的应用程序中有一些组件要求应用程序用户拥有无密钥 ssh。允许某些用户直接使用应用程序用户登录,而其他用户则需要 LDAP,这是没有意义的。
在我的 sshd_config 文件中我会设置
DenyUser appuser
答案1
如果您设置DenyUsers appuser
则appuser
无法登录,使用密钥或其他方式:他们的登录将被拒绝。
您可能想要做的是锁定appuser
密码并为该用户提供一个无人能访问的新 SSH 密钥 - 现在,除非他们拥有新的 SSH 密钥,否则任何人都无法以 appuser 身份登录,而新 SSH 密钥只会提供给需要无密码 SSH 访问的组件。其他所有人都可以使用他们的 LDAP 帐户和 sudo 登录以执行他们需要做的任何事情,这听起来您已经在这样做了。