Um interessante estudo de caso sobre permissão.

0

Temos dois usuários. Tom e Jim. Sistema usando krb5 e sldap.

Tom$ ssh machine1.somecompany.com
Password: 
Permission denied (publickey,gssapi-with-mic,keyboard-interactive).

//////

Jim: ssh machine1.somecompany.com
Password:
sucesss

Jim@machine1$
Jim@machine1$ id Jim
uid=1178(Jim) gid=1178(Jim) groups=1178(Jim),0(wheel),60002(AAA),60006(BBB),60007(CCC)

Jim@machine1$ id Tom
uid=1178(Tom) gid=1178(Tom) groups=1178(Tom),0(wheel),60002(AAA)

//////
Tom$ ssh machine2.somecompany.com
Password: 
success!
Tom@machine2$ ssh machine1.somecompany.com
Password:
success!
Tom@machine1$

Então Jim é capaz de fazer ssh diretamente na máquina 1; e jim pertence a dois grupos extras, BBB e CCC, em comparação com Tom. Tom não foi capaz de fazer ssh diretamente na machine1. No entanto, tom pode ssh em machine2 e, em seguida, ssh em machine1.

O que isso lhe diz sobre o sistema? Se eu adicionar manualmente o Tom no grupo BBB e o CCC será capaz de enviar diretamente o ssh para a máquina1? Se eu remover Jim da BBB e da CCC, Jim será capaz de fazer ssh diretamente na máquina1?

    
por hunkeelin 04.02.2015 / 23:52

1 resposta

0

Você não tem informações suficientes para saber.

O OpenSSH permite que restrições de login (por exemplo, "deve usar autenticação baseada em chave") sejam definidas por usuário, por grupo ou por máquina remota, assim como em outros critérios que provavelmente não são t relevante. Para descobrir, você precisará procurar no arquivo de configuração do daemon ( /etc/ssh/sshd_config ) e, possivelmente, nos arquivos de configuração por usuário ( ~/.ssh/* ).

    
por 05.02.2015 / 00:56