A autenticação de chave pública SSH pode usar o pam_group?

5

Estou configurando alguns servidores para usar LDAP (via PAM) para autenticar usuários. Além disso, eu uso o pam_group para adicionar todos os usuários a alguns grupos do sistema, como audio / video / vboxusers / ....

A configuração do meu PAM funciona bem com a maioria dos serviços (su, login e sudo levam em conta o pam_group), mas não com o SSH. Especificamente, quando eu autentico com uma chave pública, grupos não são adicionados a partir do /etc/security/group.conf, mas eles são quando eu me autentico com uma senha.

Olhando em volta, descobri que a autenticação de chave pública do SSH ignora a pilha do PAM e define credenciais do usuário por si só, portanto, ele ignora configurações específicas do PAM, como pam_group. Estranhamente, grupos LDAP - que geralmente são definidos por pam_ldap - são definidos em todos os casos, senha ou não.

Eu gostaria que a experiência do usuário fosse o mais previsível possível para os meus usuários, para que eles sejam sempre membros do mesmo grupo de grupos, independentemente do método de autenticação. Existe alguma maneira de configurar o SSH para adicionar grupos de /etc/security/group.conf ao usar a autenticação pubkey?

Agradecemos antecipadamente

    
por Marc Coiffier 13.07.2016 / 11:58

1 resposta

0

Provavelmente não.

A página man de pam_group diz:

Only the auth module type is provided.

E como o SSH não usa o PAM para autenticar quando usa chaves públicas, os módulos auth não são usados.

Quanto a por que pam_group só funciona como um módulo auth e não como um módulo session , não sei dizer.

    
por 24.12.2017 / 21:40