Estou configurando alguns servidores para usar LDAP (via PAM) para autenticar usuários. Além disso, eu uso o pam_group para adicionar todos os usuários a alguns grupos do sistema, como audio / video / vboxusers / ....
A configuração do meu PAM funciona bem com a maioria dos serviços (su, login e sudo levam em conta o pam_group), mas não com o SSH. Especificamente, quando eu autentico com uma chave pública, grupos não são adicionados a partir do /etc/security/group.conf, mas eles são quando eu me autentico com uma senha.
Olhando em volta, descobri que a autenticação de chave pública do SSH ignora a pilha do PAM e define credenciais do usuário por si só, portanto, ele ignora configurações específicas do PAM, como pam_group. Estranhamente, grupos LDAP - que geralmente são definidos por pam_ldap - são definidos em todos os casos, senha ou não.
Eu gostaria que a experiência do usuário fosse o mais previsível possível para os meus usuários, para que eles sejam sempre membros do mesmo grupo de grupos, independentemente do método de autenticação. Existe alguma maneira de configurar o SSH para adicionar grupos de /etc/security/group.conf ao usar a autenticação pubkey?
Agradecemos antecipadamente
Provavelmente não.
A página man de pam_group diz:
Only the auth module type is provided.
E como o SSH não usa o PAM para autenticar quando usa chaves públicas, os módulos auth não são usados.
Quanto a por que pam_group só funciona como um módulo auth e não como um módulo session , não sei dizer.
Tags ssh authentication pam