Konfiguracja scentralizowanego uwierzytelniania SSH

Scentralizowane uwierzytelnianie SSH pozwala na zarządzanie dostępem do serwerów SSH z jednego miejsca. Umożliwia to wygodne i bezpieczne logowanie się użytkowników bez konieczności pamiętania wielu haseł.

W tym poradniku pokażemy, jak skonfigurować scentralizowane uwierzytelnianie SSH z wykorzystaniem serwera OpenLDAP.

Wymagania

• Serwer z systemem Linux lub FreeBSD
• Zainstalowany serwer OpenLDAP
• Zainstalowany klient SSH

Kroki

1. Konfiguracja serwera OpenLDAP

Należy dodać użytkowników i grupy do serwera OpenLDAP. Można to zrobić za pomocą narzędzia ldapadd lub graficznego interfejsu, np. phpldapadmin.

Przykład dodawania użytkownika:

ldapadd -x -D "cn=admin,dc=example,dc=com" -w "secret" -f user.ldif

Plik user.ldif zawiera definicję użytkownika, np.:

dn: uid=user1,dc=example,dc=com
objectClass: top
objectClass: posixAccount
objectClass: inetOrgPerson
cn: User1
uid: user1
gidNumber: 100
homeDirectory: /home/user1
userPassword: {SSHA}hashed_password

2. Konfiguracja klienta SSH

Należy skonfigurować klienta SSH do korzystania z serwera OpenLDAP. W pliku ~/.ssh/config należy dodać następujące opcje:

Host *
    UsePAM no
    AuthenticationMethods publickey
    AuthorizedKeysFile .ssh/authorized_keys
    PubkeyAcceptedKeyTypes ssh-rsa
    PasswordAuthentication no
    ChallengeResponseAuthentication no
    GSSAPIAuthentication yes
    GSSAPITrustDns yes
    GSSAPIKeyExchange no

3. Użytkowanie scentralizowanego uwierzytelniania SSH

Użytkownicy mogą teraz logować się do serwerów SSH za pomocą swoich kluczy SSH.

Przykład

Użytkownik user1 chce zalogować się do serwera ssh.example.com. Użytkownik posiada klucz SSH ~/.ssh/id_rsa.

1. Użytkownik wykonuje polecenie:

ssh user1@ssh.example.com

2. Klient SSH wysyła zapytanie do serwera OpenLDAP o uwierzytelnienie użytkownika user1.

3. Serwer OpenLDAP sprawdza poprawność hasła użytkownika user1.

4. Jeśli hasło jest poprawne, serwer OpenLDAP wysyła do klienta SSH informacje o użytkowniku user1.

5. Klient SSH sprawdza, czy użytkownik user1 posiada klucz SSH ~/.ssh/id_rsa.

6. Jeśli użytkownik user1 posiada klucz SSH ~/.ssh/id_rsa, klient SSH loguje użytkownika do serwera ssh.example.com.

Wskazówki

• Upewnij się, że serwer OpenLDAP jest bezpiecznie skonfigurowany.
• Używaj silnych haseł dla użytkowników OpenLDAP.
• Używaj kluczy SSH do uwierzytelniania użytkowników.
• Monitoruj logi serwera SSH i OpenLDAP w celu wykrycia podejrzanych działań.

Podsumowanie

Scentralizowane uwierzytelnianie SSH to wygodne i bezpieczne rozwiązanie do zarządzania dostępem do serwerów SSH. Ten poradnik zawiera podstawowe informacje na temat konfiguracji scentralizowanego uwierzytelniania SSH z wykorzystaniem serwera OpenLDAP.

Polecane wpisy

Jak stworzyć lokalne mirror repozytoriów APT lub pacman – działanie offline, testy, oszczędność transferu

🌐 Jak stworzyć lokalne mirror repozytoriów APT lub pacman – działanie offline, testy, oszczędność transferu Tworzenie lokalnego repozytorium pakietów ma Czytaj dalej

Wine: lista poleceń w konsoli Linux

Wine: lista poleceń w konsoli Linux Wine to oprogramowanie open-source, które pozwala uruchamiać aplikacje Windows na systemach Linux i macOS. Czytaj dalej