需要更新 /etc/pam.d/ 中的文件以实现 SSH 的 nss-pam-ldapd 支持

Question

/etc/pam.d/通常，在名为的文件下会有一个文件sshd，但它通常只包含与此类似的几行：

auth       include  system-remote-login
account    include  system-remote-login
password   include  system-remote-login
session    include  system-remote-login

这些是对目录中其他文件的引用/etc/pam.d/，其中包含计算机上所有安全功能通用的 PAM 指令。如果您想要 SSH 的 LDAP 身份验证仅有的，您将更改sshd文件本身。如果您尝试为整个系统设置 LDAP 身份验证（即本地登录以及 SSH），您将需要编辑所有登录的通用 PAM 文件。

LDAP 身份验证的典型sshd配置文件如下所示：

auth       files ldap
account    files ldap
password   files ldap
session    files ldap

但是，这假设您不使用 SSSD，并且只想对 SSHD 进行 LDAP 身份验证，而不需要其他服务。此配置允许在 LDAP 身份验证因任何原因失败的情况下在目标服务器上进行本地登录。您可能想要也可能不想要这种行为。另请注意，根据 LDAP 服务器的配置方式，这可能会导致用户登录信息以明文形式通过网络发送。

这里是 CentOS 上 LDAP 身份验证的综合设置指南，但它面向使用 LDAP 进行本地登录和服务（包括 SSH）。

Answer 1

/etc/pam.d/通常，在名为的文件下会有一个文件sshd，但它通常只包含与此类似的几行：

auth       include  system-remote-login
account    include  system-remote-login
password   include  system-remote-login
session    include  system-remote-login

这些是对目录中其他文件的引用/etc/pam.d/，其中包含计算机上所有安全功能通用的 PAM 指令。如果您想要 SSH 的 LDAP 身份验证仅有的，您将更改sshd文件本身。如果您尝试为整个系统设置 LDAP 身份验证（即本地登录以及 SSH），您将需要编辑所有登录的通用 PAM 文件。

LDAP 身份验证的典型sshd配置文件如下所示：

auth       files ldap
account    files ldap
password   files ldap
session    files ldap

但是，这假设您不使用 SSSD，并且只想对 SSHD 进行 LDAP 身份验证，而不需要其他服务。此配置允许在 LDAP 身份验证因任何原因失败的情况下在目标服务器上进行本地登录。您可能想要也可能不想要这种行为。另请注意，根据 LDAP 服务器的配置方式，这可能会导致用户登录信息以明文形式通过网络发送。

这里是 CentOS 上 LDAP 身份验证的综合设置指南，但它面向使用 LDAP 进行本地登录和服务（包括 SSH）。

需要更新 /etc/pam.d/ 中的文件以实现 SSH 的 nss-pam-ldapd 支持

答案1

相关内容