Grava atributo arbitrário em ENV do LDAP após autenticação PAM bem-sucedida

7

É possível durante a fase de autenticação de pam_ldap mapear um atributo LDAP arbitrário do registro do usuário para o ambiente do usuário resultante?

Os detalhes da minha situação, no caso de você ver outra abordagem para o problema, é que eu escrevi um subsistema SFTP personalizado que mapeia os comandos SFTP para um conjunto Ceph / Rados. Eu quero que este subsistema use uma chave associada ao usuário autenticado para se conectar ao cluster Ceph (para controlar o acesso ao pool, etc.)

Eu já estou autenticando usuários via LDAP para a conexão SSH / SFTP e acredito que posso bloquear o acesso de leitura ao seu atributo de chave Ceph para somente root e self. Eu preferiria não fazer outra pesquisa LDAP usando uma conta de ligação LDAP compartilhada, se possível.

Atualização:

Embora eu não tenha encontrado uma maneira de fazer exatamente o que estou pedindo aqui, eu tenho algo "working" que usa pam_exec.so session module (como root) para puxar o atributo ldap e gravá-lo em /run/users/<UID>/<filename>.<SESSION_ID> (por chmod 400 , chown <UID>:root ). Em seguida, o subsistema personalizado (como usuário autenticado) lê e remove esse arquivo.

Embora isso funcione, existem preocupações de segurança consideráveis?

    
por James Maroney 25.03.2017 / 14:48

0 respostas