Um servidor Linux que se autentica em um Active Directory aceita chaves públicas / privadas para login sem senha?

Navegue suas respostas
1

Eu tenho um servidor Linux que autentica usuários em um Active Directory. Agora, os logins interativos exigem nome de usuário e senha, e o login automático requer um keytab (Kerberos) para autenticação sem senha.

No entanto, li em NIST IR 7966 que a autenticação keytab é não é tão seguro quanto a autenticação de par de chaves pública / privada, porque nesse caso você pode restringir o acesso à execução de um comando e ter mais controle sobre quais sistemas o usuário pode autenticar.

Portanto, gostaria de usar o par de chaves pública / privada e continuar a autenticação em um Active Directory de um servidor Linux. Isso é possível?

    
por Eloy Roldán Paredes 09.02.2016 / 13:46

1 resposta

2

Sim, você pode exigir tanto o kerberos quanto a autenticação de chave pública com a opção AuthenticationMethods sshd.

man 5 sshd_config :

AuthenticationMethods

Specifies the authentication methods that must be successfully completed for a user to be granted access. This option must be followed by one or more comma-separated lists of authentication method names. Successful authentication requires completion of every method in at least one of these lists. [...] This option will yield a fatal error if enabled if protocol 1 is also enabled. Note that each authentication method listed should also be explicitly enabled in the configuration.

Então, você precisa escrever no seu sshd_config algo assim: 

Protocol 2
GSSAPIAuthentication yes
PubkeyAuthentication yes 

AuthenticationMethods gssapi-with-mic, publickey
    
por 13.06.2016 / 16:15

Tags

patch: “bad file descriptor” em combinação com pipe e LD_PRELOAD / libtrash Listar arquivos adicionados e removidos entre as liberações marcadas