想要一种通过LDAP进行SSH密钥身份验证的方法。
我们使用LDAP(slapd)进行目录服务,最近我们转向使用自己的AMI构建实例。AMI位很重要的原因是,理想情况下,我们希望能够在实例运行时立即通过密钥身份验证通过SSH登录,而不必等待我们速度稍慢的配置管理工具启动脚本来添加实例的正确键。
理想的情况是,当将用户添加到LDAP时,我们也添加了他们的密钥,并且他们将能够立即登录。
密钥身份验证是必须的,因为基于密码的登录既安全性较低,又麻烦。
我读过这个问题,它暗示有一个名为OpenSSH-lpk的OpenSSH补丁可以做到这一点,但是对于OpenSSH服务器> = 6.2不再需要
添加了sshd_config(5)选项AuthorizedKeysCommand,以支持从文件中(而不是从文件系统中)获取命令中的authorized_keys。该命令在AuthorizedKeysCommandUser sshd_config(5)选项指定的帐户下运行
如何配置OpenSSH和LDAP来实现此目的?
Answers:
我们首先需要使用一种架构来更新LDAP sshPublicKey以为用户添加属性:
dn: cn=openssh-lpk,cn=schema,cn=config
objectClass: olcSchemaConfig
cn: openssh-lpk
olcAttributeTypes: ( 1.3.6.1.4.1.24552.500.1.1.1.13 NAME 'sshPublicKey'
DESC 'MANDATORY: OpenSSH Public key'
EQUALITY octetStringMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.40 )
olcObjectClasses: ( 1.3.6.1.4.1.24552.500.1.1.2.0 NAME 'ldapPublicKey' SUP top AUXILIARY
DESC 'MANDATORY: OpenSSH LPK objectclass'
MAY ( sshPublicKey $ uid )
)
该脚本应输出该用户的公共密钥,例如:
ldapsearch '(&(objectClass=posixAccount)(uid='"$1"'))' 'sshPublicKey' | sed -n '/^ /{H;d};/sshPublicKey:/x;$g;s/\n *//g;s/sshPublicKey: //gp'
sshd_config以指向上一步中的脚本AuthorizedKeysCommand /path/to/scriptAuthorizedKeysCommandUser nobody奖励:更新sshd_config以允许从内部RFC1918网络进行密码认证,如以下问题所示:
编辑:nobody建议用户添加TRS-80
ldapsearch -u -LLL -o ldif-wrap=no '(&(objectClass=posixAccount)(uid='"$1"'))' 'sshPublicKey' | sed -n 's/^[ \t]*sshPublicKey:[ \t]*\(.*\)/\1/p'
AuthorizedKeysCommandRunAs,没有AuthorizedKeysCommandUser
只是想分享我的“方法”,我的客户端是Debian / Ubuntu特有的,但是我的服务器端与上面的基本相同,但还有一点“ HowTo:”
服务器:
启用公钥属性:
信用:
https://blog.shichao.io/2015/04/17/setup_openldap_server_with_openssh_lpk_on_ubuntu.html
cat << EOL >~/openssh-lpk.ldif
dn: cn=openssh-lpk,cn=schema,cn=config
objectClass: olcSchemaConfig
cn: openssh-lpk
olcAttributeTypes: ( 1.3.6.1.4.1.24552.500.1.1.1.13 NAME 'sshPublicKey'
DESC 'MANDATORY: OpenSSH Public key'
EQUALITY octetStringMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.40 )
olcObjectClasses: ( 1.3.6.1.4.1.24552.500.1.1.2.0 NAME 'ldapPublicKey' SUP top AUXILIARY
DESC 'MANDATORY: OpenSSH LPK objectclass'
MAY ( sshPublicKey $ uid )
)
EOL
现在使用它添加ldif:
ldapadd -Y EXTERNAL -H ldapi:/// -f ~/openssh-lpk.ldif
在phpLDAPadmin中添加具有SSH公钥的用户
首先,使用“通用:用户帐户”模板创建一个用户。然后,转到“ objectClass”属性部分,单击“添加值”,然后选择“ ldapPublicKey”属性。提交后,返回到用户编辑页面,单击顶部的“添加新属性”,然后选择“ sshPublicKey”,将公钥粘贴到文本区域,最后单击“更新对象”。
sshPublicKey属性未显示-OpenLDAP PHPLDAP SSH密钥验证
Ubuntu客户端:
apt-get -y install python-pip python-ldap
pip install ssh-ldap-pubkey
sh -c 'echo "AuthorizedKeysCommand /usr/local/bin/ssh-ldap-pubkey-wrapper\nAuthorizedKeysCommandUser nobody" >> /etc/ssh/sshd_config' && service ssh restart
创建测试键:
ssh-keygen -t rsa
这不是完整的答案,只是c4urself答案的补充。我将其添加为评论,但我没有足够的声誉来发表评论,所以请不要投票!
这是我正在使用的脚本AuthorizedKeysCommand(基于c4urself的版本)。无论该值是否以base64编码返回,它都有效。如果要在LDAP中存储多个授权密钥,此功能特别有用-只需用新行字符分隔密钥即可,类似于authorized_keys文件。
#!/bin/bash
set -eou pipefail
IFS=$'\n\t'
result=$(ldapsearch '(&(objectClass=posixAccount)(uid='"$1"'))' 'sshPublicKey')
attrLine=$(echo "$result" | sed -n '/^ /{H;d};/sshPublicKey:/x;$g;s/\n *//g;/sshPublicKey:/p')
if [[ "$attrLine" == sshPublicKey::* ]]; then
echo "$attrLine" | sed 's/sshPublicKey:: //' | base64 -d
elif [[ "$attrLine" == sshPublicKey:* ]]; then
echo "$attrLine" | sed 's/sshPublicKey: //'
else
exit 1
fi
AuthorizedKeysCommandUser nobody不要使用root。