เชเชคเชฟเชนเชพเชธเชฟเช เชฐเซเชคเซ, เชธเซเชกเซ เชชเชฐเชตเชพเชจเชเซเช เชฎเชพเชเชฅเซ เชซเชพเชเชฒเซเชจเซ เชธเชพเชฎเชเซเชฐเซเช เชฆเซเชตเชพเชฐเชพ เชธเชเชเชพเชฒเชฟเชค เชนเชคเซ /etc/sudoers.d ะธ เชตเชฟเชธเซเชกเซ, เช เชจเซ เชเซ เช เชงเชฟเชเซเชคเชคเชพ เชจเซ เชเชชเชฏเซเช เชเชฐเซเชจเซ เชนเชพเชฅ เชงเชฐเชตเชพเชฎเชพเช เชเชตเซ เชนเชคเซ ~/.ssh/authorized_keys. เชเซ เชเซ, เชเซเชฎ เชเซเชฎ เชเชจเซเชซเซเชฐเชพเชธเซเชเซเชฐเชเซเชเชฐ เชตเชงเชคเซเช เชเชพเชฏ เชเซ เชคเซเชฎ เชคเซเชฎ เช เช เชงเชฟเชเชพเชฐเซเชจเซเช เชเซเชจเซเชฆเซเชฐเชฟเชฏ เชฐเซเชคเซ เชธเชเชเชพเชฒเชจ เชเชฐเชตเชพเชจเซ เชเชเซเชเชพ เชเซ. เชเชเซ เชเชฃเชพ เชเชเซเชฒ เชตเชฟเชเชฒเซเชชเซ เชนเซเช เชถเชเซ เชเซ:
- เชเชจเซเชซเชฟเชเชฐเซเชถเชจ เชฎเซเชจเซเชเชฎเซเชจเซเช เชธเชฟเชธเซเชเชฎ - เชตเชกเชพ, เชชเชชเซเช, Ansible, เชธเซเชฒเซเช
- เชธเชเซเชฐเชฟเชฏ เชฎเชพเชฐเซเชเชฆเชฐเซเชถเชจ + เชเชธเชเชธเชกเซ
- เชธเซเชเซเชฐเชฟเชชเซเชเซเชธ เช เชจเซ เชฎเซเชจเซเชฏเซเช เชฒ เชซเชพเชเชฒ เชเชกเชฟเชเชฟเชเชเชจเชพ เชธเซเชตเชฐเซเชชเชฎเชพเช เชตเชฟเชตเชฟเชง เชตเชฟเชเซเชคเชฟเช
เชฎเชพเชฐเชพ เชตเซเชฏเชเซเชคเชฟเชฒเชเซเชทเซ เช เชญเชฟเชชเซเชฐเชพเชฏเชฎเชพเช, เชเซเชจเซเชฆเซเชฐเชฟเชฏ เชตเซเชฏเชตเชธเซเชฅเชพเชชเชจ เชฎเชพเชเซ เชถเซเชฐเซเชทเซเช เชตเชฟเชเชฒเซเชช เชนเชเซ เชชเชฃ เชธเชเชฏเซเชเชจ เชเซ เชธเชเซเชฐเชฟเชฏ เชฎเชพเชฐเซเชเชฆเชฐเซเชถเชจ + เชเชธเชเชธเชกเซ. เช เช เชญเชฟเชเชฎเชจเชพ เชซเชพเชฏเชฆเชพ เชเซ:
- เชเชฐเซเชเชฐ เชเช เชเซเชจเซเชฆเซเชฐเชฟเชฏ เชตเชชเชฐเชพเชถเชเชฐเซเชคเชพ เชจเชฟเชฐเซเชฆเซเชถเชฟเชเชพ.
- เช เชงเชฟเชเชพเชฐเซเชจเซเช เชตเชฟเชคเชฐเชฃ sudo เชเซเชเซเชเชธ เชธเซเชฐเชเซเชทเชพ เชเซเชฅเชฎเชพเช เชตเชชเชฐเชพเชถเชเชฐเซเชคเชพเชจเซ เชเชฎเซเชฐเชตเชพ เชฎเชพเชเซ เชจเซเชเซ เชเชตเซ เชเซ.
- เชตเชฟเชตเชฟเชง Linux เชธเชฟเชธเซเชเชฎเซเชจเชพ เชเชฟเชธเซเชธเชพเชฎเชพเช, เชฐเซเชชเชฐเซเชเชพเชเชเชจ เชธเชฟเชธเซเชเชฎเซเชจเซ เชเชชเชฏเซเช เชเชฐเชคเซ เชตเชเชคเซ OS เชจเชเซเชเซ เชเชฐเชตเชพ เชฎเชพเชเซ เชตเชงเชพเชฐเชพเชจเซ เชคเชชเชพเชธเซ เชฆเชพเชเชฒ เชเชฐเชตเซ เชเชฐเซเชฐเซ เชฌเชจเซ เชเซ.
เชเชเชจเชพ เชธเซเชฏเซเชเชจเซ เชเชพเชธ เชเชฐเซเชจเซ เชเชจเซเชเซเชถเชจ เชฎเชพเชเซ เชธเชฎเชฐเซเชชเชฟเชค เชเชฐเชตเชพเชฎเชพเช เชเชตเชถเซ เชธเชเซเชฐเชฟเชฏ เชฎเชพเชฐเซเชเชฆเชฐเซเชถเชจ + เชเชธเชเชธเชกเซ เช
เชงเชฟเชเชพเชฐ เชตเซเชฏเชตเชธเซเชฅเชพเชชเชจ เชฎเชพเชเซ sudo เช
เชจเซ เชธเชเชเซเชฐเชน ssh เชเช เชฐเซเชชเซเชเซเชเชฐเซเชฎเชพเช เชเซเช.
เชคเซเชฅเซ, เชนเซเชฒ เชคเชเช เชฎเซเชจเชฎเชพเช เชฅเซเชเซ เชเชฏเซ, เชเชเชกเชเซเชเชฐเซ เชคเซเชจเซ เชฆเชเชกเซ เชเชญเซ เชเชฐเซเชฏเซ, เช
เชจเซ เชเชฐเซเชเซเชธเซเชเซเชฐเชพ เชคเซเชฏเชพเชฐ เชฅเช เชเชฏเซ.
เชเชพเช.
เชเชชเซเชฒ:
- เชธเชเซเชฐเชฟเชฏ เชกเชฟเชฐเซเชเซเชเชฐเซ เชกเซเชฎเซเชจ testopf.local เชตเชฟเชจเซเชกเซเช เชธเชฐเซเชตเชฐ 2012 R2 เชชเชฐ.
- เชธเซเชจเซเชเซเชธ 7 เชเชฒเชพเชตเชคเชพ Linux เชนเซเชธเซเช
- เชจเซ เชเชชเชฏเซเช เชเชฐเซเชจเซ เชฐเซเชชเชฐเซเชเชพเชเชเชฟเชค เช
เชงเชฟเชเซเชคเชคเชพ เชเชธเชเชธเชกเซ
เชฌเชเชจเซ เชเชเซเชฒเซ เชธเซเชเซเชฎเชพเชฎเชพเช เชซเซเชฐเชซเชพเชฐ เชเชฐเซ เชเซ เชธเชเซเชฐเชฟเชฏ เชฎเชพเชฐเซเชเชฆเชฐเซเชถเชจ, เชคเซเชฅเซ เช
เชฎเซ เชชเชฐเซเชเซเชทเชฃ เชตเชพเชคเชพเชตเชฐเชฃเชฎเชพเช เชฌเชงเซเช เชคเชชเชพเชธเซเช เชเซเช เช
เชจเซ เชชเชเซ เช เชเชพเชฐเซเชฏเชเชพเชฐเซ เชฎเชพเชณเชเชพเชฎเชพเช เชซเซเชฐเชซเชพเชฐ เชเชฐเซเช เชเซเช. เชนเซเช เช เชจเซเชเชงเชตเชพ เชฎเชพเชเชเซ เชเซเช เชเซ เชคเชฎเชพเชฎ เชซเซเชฐเชซเชพเชฐเซ เชฒเชเซเชทเซเชฏเชพเชเชเชฟเชค เชเซ เช
เชจเซ เชนเชเซเชเชคเชฎเชพเช, เชซเชเซเชค เชเชฐเซเชฐเซ เชฒเชเซเชทเชฃเซ เช
เชจเซ เชตเชฐเซเชเซ เชเชฎเซเชฐเซ.
เชเซเชฐเชฟเชฏเชพ 1: เชจเชฟเชฏเชเชคเซเชฐเชฃ sudo เชฆเซเชตเชพเชฐเชพ เชญเซเชฎเชฟเชเชพเช เชธเชเซเชฐเชฟเชฏ เชฎเชพเชฐเซเชเชฆเชฐเซเชถเชจ.
เชธเชฐเซเชเชฟเช เชตเชฟเชธเซเชคเซเชค เชเชฐเชตเชพ เชฎเชพเชเซ เชธเชเซเชฐเชฟเชฏ เชฎเชพเชฐเซเชเชฆเชฐเซเชถเชจ เชคเชฎเชพเชฐเซ เชจเชตเซเชจเชคเชฎ เชชเซเชฐเชเชพเชถเชจ เชกเชพเชเชจเชฒเซเชก เชเชฐเชตเชพเชจเซ เชเชฐเซเชฐ เชเซ - 1.8.27 เชเชเชฅเซ. เชซเชพเชเชฒเชจเซ เช
เชจเชชเซ
เช เชเชฐเซ เช
เชจเซ เชเซเชชเชฟ เชเชฐเซ schema.ActiveDirectory ./doc เชกเชฟเชฐเซเชเซเชเชฐเซเชฎเชพเชเชฅเซ เชกเซเชฎเซเชจ เชจเชฟเชฏเชเชคเซเชฐเช เชธเซเชงเซ. เชเซเชฏเชพเช เชซเชพเชเชฒ เชเซเชชเชฟ เชเชฐเชตเชพเชฎเชพเช เชเชตเซ เชนเชคเซ เชคเซ เชกเชฟเชฐเซเชเซเชเชฐเซเชฎเชพเชเชฅเซ เชเชกเชฎเชฟเชจเชฟเชธเซเชเซเชฐเซเชเชฐ เช
เชงเชฟเชเชพเชฐเซ เชธเชพเชฅเซ เชเชฎเชพเชจเซเชก เชฒเชพเชเชจเชฎเชพเชเชฅเซ, เชเชฒเชพเชตเซ:
ldifde -i -f schema.ActiveDirectory -c dc=X dc=testopf,dc=local
(เชคเชฎเชพเชฐเชพ เชฎเซเชฒเซเชฏเซเชจเซ เชฌเชฆเชฒเชตเชพเชจเซเช เชญเซเชฒเชถเซ เชจเชนเซเช)
เชเซเชฒเซ adsiedit.msc เช
เชจเซ เชกเชฟเชซเซเชฒเซเช เชธเชเชฆเชฐเซเชญ เชธเชพเชฅเซ เชเชจเซเชเซเช เชเชฐเซ:
เชกเซเชฎเซเชจเชจเชพ เชฐเซเช เชชเชฐ เชเช เชตเชฟเชญเชพเช เชฌเชจเชพเชตเซ เชธเซเชกเซเชฐเซเชธ. (เชฌเซเชฐเซเชเชฟเชฏเซ เชนเช เซเชฒเชพเชชเชฃเซ เชฆเชพเชตเซ เชเชฐเซ เชเซ เชเซ เชคเซ เช เชเชเชฎเชฎเชพเช เชฐเชพเชเซเชทเชธ เชเซ เชเชธเชเชธเชกเซ เชตเชธเซเชคเซ เชถเซเชงเซ เชเซ sudoRole เชตเชธเซเชคเซเช เชเซ เชเซ, เชตเชฟเชเชคเชตเชพเชฐ เชกเซเชฌเชเซเชเช เชเชพเชฒเซ เชเชฐเซเชฏเชพ เชชเชเซ เช
เชจเซ เชฒเซเชเชจเซ เช
เชญเซเชฏเชพเชธ เชเชฐเซเชฏเชพ เชชเชเซ, เชคเซ เชฌเชนเชพเชฐ เชเชตเซเชฏเซเช เชเซ เชถเซเชง เชธเชฎเชเซเชฐ เชกเชฟเชฐเซเชเซเชเชฐเซ เชเซเชฐเซเชฎเชพเช เชเชฐเชตเชพเชฎเชพเช เชเชตเซ เชนเชคเซ.)
เช
เชฎเซ เชตเชฟเชญเชพเชเชฎเชพเช เชตเชฐเซเช เชธเชพเชฅเซ เชธเชเชฌเชเชงเชฟเชค เชชเซเชฐเชฅเชฎ เชเชฌเซเชเซเชเซเช เชฌเชจเชพเชตเซเช เชเซเช sudoRole. เชจเชพเชฎ เชเชเชฆเชฎ เชฎเชจเชธเซเชตเซ เชฐเซเชคเซ เชชเชธเชเชฆ เชเชฐเซ เชถเชเชพเชฏ เชเซ, เชเชพเชฐเชฃ เชเซ เชคเซ เชซเชเซเชค เช
เชจเซเชเซเชณ เชเชณเช เชฎเชพเชเซ เช เชธเซเชตเชพ เชเชชเซ เชเซ.
เชธเซเชเซเชฎเชพ เชเชเซเชธเซเชเซเชเชถเชจเชฎเชพเชเชฅเซ เชธเชเชญเชตเชฟเชค เชเชชเชฒเชฌเซเชง เชฒเชเซเชทเชฃเซ เชชเซเชเซ, เชฎเซเชเซเชฏ เชจเซเชเซ เชฎเซเชเชฌ เชเซ:
- sudoCommand โ เชจเชเซเชเซ เชเชฐเซ เชเซ เชเซ เชฏเชเชฎเชพเชจ เชชเชฐ เชเชฏเชพ เชเชฆเซเชถเซ เชเชฒเชพเชตเชตเชพเชจเซ เชฎเชเชเซเชฐเซ เชเซ.
- sudoHost โ เชจเชเซเชเซ เชเชฐเซ เชเซ เชเซ เช เชญเซเชฎเชฟเชเชพ เชเชฏเชพ เชนเซเชธเซเชเชจเซ เชฒเชพเชเซ เชชเชกเซ เชเซ. เชคเชฐเซเชเซ เชธเซเชชเชทเซเช เชเชฐเซ เชถเชเชพเชฏ เชเซ เชฌเชงเชพ, เช เชจเซ เชจเชพเชฎ เชฆเซเชตเชพเชฐเชพ เชตเซเชฏเชเซเชคเชฟเชเชค เชนเซเชธเซเช เชฎเชพเชเซ. เชฎเชพเชธเซเชเชจเซ เชเชชเชฏเซเช เชเชฐเชตเซ เชชเชฃ เชถเชเซเชฏ เชเซ.
- sudoUser - เชธเซเชเชตเซ เชเซ เชเซ เชเชฏเชพ เชตเชชเชฐเชพเชถเชเชฐเซเชคเชพเชเชจเซ เชเชฒเชพเชตเชตเชพเชจเซ เชฎเชเชเซเชฐเซ เชเซ sudo.
เชเซ เชคเชฎเซ เชธเซเชฐเชเซเชทเชพ เชเซเชฅเชจเซ เชเชฒเซเชฒเซเช เชเชฐเซ เชเซ, เชคเซ เชจเชพเชฎเชจเซ เชถเชฐเซเชเชคเชฎเชพเช โ%โ เชเชฟเชนเซเชจ เชเชฎเซเชฐเซ. เชเซ เชเซเชฐเซเชชเชจเชพ เชจเชพเชฎเชฎเชพเช เชธเซเชชเซเชธ เชนเซเชฏ เชคเซ เชเชฟเชเชคเชพ เชเชฐเชตเชพเชจเซ เชเซเช เชตเชพเชค เชจเชฅเซ. เชฒเซเช เชฆเซเชตเชพเชฐเชพ เช เชญเชฟเชชเซเชฐเชพเชฏ เชเชชเชคเชพ, เชเชเซเชฏเชพเชเชฎเชพเชเชฅเซ เชฌเชนเชพเชฐ เชจเซเชเชณเชตเชพเชจเซเช เชเชพเชฐเซเชฏ เชฎเชฟเชเซเชจเชฟเชเชฎ เชฆเซเชตเชพเชฐเชพ เชฒเซเชตเชพเชฎเชพเช เชเชตเซ เชเซ เชเชธเชเชธเชกเซ.
เชซเชฟเช 1. เชกเชฟเชฐเซเชเซเชเชฐเซเชจเชพ เชฐเซเชเชฎเชพเช sudoers เชชเซเชเชพเชตเชฟเชญเชพเชเชฎเชพเช sudoRole เชเชฌเซเชเซเชเซเชเซเชธ
เชเชเซเชคเชฟ 2. เชธเซเชกเซเชฐเซเชฒ เชเชฌเซเชเซเชเซเชเซเชธเชฎเชพเช เชเชฒเซเชฒเซเชเชฟเชค เชธเซเชฐเชเซเชทเชพ เชเซเชฅเซเชฎเชพเช เชธเชญเซเชฏเชชเชฆ.
เชจเซเชเซเชจเซเช เชธเซเชเช
เชช Linux เชฌเชพเชเซ เชชเชฐ เชเชฐเชตเชพเชฎเชพเช เชเชตเซเชฏเซเช เชเซ.
เชซเชพเชเชฒเชฎเชพเช /etc/nsswitch.conf เชซเชพเชเชฒเชจเชพ เช
เชเชคเชฎเชพเช เชฒเซเชเซ เชเชฎเซเชฐเซ:
sudoers: files sssเชซเชพเชเชฒเชฎเชพเช /etc/sssd/sssd.conf เชตเชฟเชญเชพเชเชฎเชพเช [sssd] เชธเซเชตเชพเชเชฎเชพเช เชเชฎเซเชฐเซ sudo
cat /etc/sssd/sssd.conf | grep services
services = nss, pam, sudo
เชคเชฎเชพเชฎ เชเชพเชฎเชเซเชฐเซ เชชเชเซ, เชคเชฎเชพเชฐเซ sssd เชกเชฟเชฎเชจ เชเซเชถ เชธเชพเชซ เชเชฐเชตเชพเชจเซ เชเชฐเซเชฐ เชเซ. เชธเซเชตเชเชพเชฒเชฟเชค เช เชชเชกเซเช เชฆเชฐ 6 เชเชฒเชพเชเซ เชฅเชพเชฏ เชเซ, เชชเชฐเชเชคเซ เชเซเชฏเชพเชฐเซ เชเชชเชฃเซ เชคเซเชจเซ เชนเชฎเชฃเชพเช เชเซเชเช เชคเซเชฏเชพเชฐเซ เชถเชพ เชฎเชพเชเซ เชเชเชฒเซ เชฒเชพเชเชฌเซ เชฐเชพเชน เชเซเชตเซ เชเซเชเช?
sss_cache -Eเชคเซ เชเชฃเซเชตเชพเชฐ เชฅเชพเชฏ เชเซ เชเซ เชเซเชถ เชธเชพเชซ เชเชฐเชตเชพเชฅเซ เชฎเชฆเชฆ เชฎเชณเชคเซ เชจเชฅเซ. เชชเชเซ เช เชฎเซ เชธเซเชตเชพ เชฌเชเชง เชเชฐเซเช เชเซเช, เชกเซเชเชพเชฌเซเช เชธเชพเชซ เชเชฐเซเช เชเซเช เช เชจเซ เชธเซเชตเชพ เชถเชฐเซ เชเชฐเซเช เชเซเช.
service sssd stop
rm -rf /var/lib/sss/db/*
service sssd start
เช เชฎเซ เชชเซเชฐเชฅเชฎ เชตเชชเชฐเชพเชถเชเชฐเซเชคเชพ เชคเชฐเซเชเซ เชเชจเซเชเซเช เชเชฐเซเช เชเซเช เช เชจเซ เชธเซเชกเซ เชนเซเช เชณ เชคเซเชจเซ เชฎเชพเชเซ เชถเซเช เชเชชเชฒเชฌเซเชง เชเซ เชคเซ เชคเชชเชพเชธเซ:
su user1
[user1@testsshad log]$ id
uid=1109801141(user1) gid=1109800513(domain users) groups=1109800513(domain users),1109801132(admins_)
[user1@testsshad log]$ sudo -l
[sudo] password for user1:
Matching Defaults entries for user1 on testsshad:
!visiblepw, always_set_home, match_group_by_gid, always_query_group_plugin,
env_reset, env_keep="COLORS DISPLAY HOSTNAME HISTSIZE KDEDIR LS_COLORS",
env_keep+="MAIL PS1 PS2 QTDIR USERNAME LANG LC_ADDRESS LC_CTYPE",
env_keep+="LC_COLLATE LC_IDENTIFICATION LC_MEASUREMENT LC_MESSAGES",
env_keep+="LC_MONETARY LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE",
env_keep+="LC_TIME LC_ALL LANGUAGE LINGUAS _XKB_CHARSET XAUTHORITY",
secure_path=/sbin:/bin:/usr/sbin:/usr/bin
User user1 may run the following commands on testsshad:
(root) /usr/bin/ls, /usr/bin/catเช เชฎเซ เช เชฎเชพเชฐเชพ เชฌเซเชเชพ เชตเชชเชฐเชพเชถเชเชฐเซเชคเชพ เชธเชพเชฅเซ เชคเซ เช เชเชฐเซเช เชเซเช:
su user2
[user2@testsshad log]$ id
uid=1109801142(user2) gid=1109800513(domain users) groups=1109800513(domain users),1109801138(sudo_root)
[user2@testsshad log]$ sudo -l
Matching Defaults entries for user2 on testsshad:
!visiblepw, always_set_home, match_group_by_gid, always_query_group_plugin,
env_reset, env_keep="COLORS DISPLAY HOSTNAME HISTSIZE KDEDIR LS_COLORS",
env_keep+="MAIL PS1 PS2 QTDIR USERNAME LANG LC_ADDRESS LC_CTYPE",
env_keep+="LC_COLLATE LC_IDENTIFICATION LC_MEASUREMENT LC_MESSAGES",
env_keep+="LC_MONETARY LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE",
env_keep+="LC_TIME LC_ALL LANGUAGE LINGUAS _XKB_CHARSET XAUTHORITY",
secure_path=/sbin:/bin:/usr/sbin:/usr/bin
User user2 may run the following commands on testsshad:
(root) ALL
เช เช เชญเชฟเชเชฎ เชคเชฎเชจเซ เชตเชฟเชตเชฟเชง เชตเชชเชฐเชพเชถเชเชฐเซเชคเชพ เชเซเชฅเซ เชฎเชพเชเซ เชธเซเชกเซ เชญเซเชฎเชฟเชเชพเชเชจเซ เชเซเชจเซเชฆเซเชฐเชฟเชฏ เชฐเซเชคเซ เชตเซเชฏเชพเชเซเชฏเชพเชฏเชฟเชค เชเชฐเชตเชพเชจเซ เชฎเชเชเซเชฐเซ เชเชชเซ เชเซ.
เชเชเซเชเชฟเชต เชกเชฟเชฐเซเชเซเชเชฐเซเชฎเชพเช ssh เชเซเชจเซ เชธเชเชเซเชฐเชน เช เชจเซ เชเชชเชฏเซเช
เชธเซเชเซเชฎเชจเชพ เชฅเซเชกเชพ เชตเชฟเชธเซเชคเชฐเชฃ เชธเชพเชฅเซ, ssh เชเซเชจเซ เชเชเซเชเชฟเชต เชกเชฟเชฐเซเชเซเชเชฐเซ เชฏเซเชเชฐ เชเชเซเชฐเชฟเชฌเซเชฏเซเชเซเชธเชฎเชพเช เชธเซเชเซเชฐ เชเชฐเชตเซ เช เชจเซ Linux เชนเซเชธเซเช เชชเชฐ เช เชงเชฟเชเซเชค เชเชฐเชคเซ เชตเชเชคเซ เชคเซเชจเซ เชเชชเชฏเซเช เชเชฐเชตเชพเชจเซเช เชถเชเซเชฏ เชเซ.
sssd เชฆเซเชตเชพเชฐเชพ เช
เชงเชฟเชเซเชคเชคเชพ เชฐเซเชชเชฐเซเชเชพเชเชเชฟเชค เชนเซเชตเซ เชเชตเชถเซเชฏเช เชเซ.
เชชเชพเชตเชฐเชถเซเชฒ เชธเซเชเซเชฐเชฟเชชเซเชเชจเซ เชเชชเชฏเซเช เชเชฐเซเชจเซ เชเชฐเซเชฐเซ เชตเชฟเชถเซเชทเชคเชพ เชเชฎเซเชฐเซ.
AddsshPublicKeyAttribute.ps1เชซเชเชเซเชถเชจ เชจเซเชฏเซ-เชเชเซเชฐเชฟเชฌเซเชฏเซเชเชเชเชกเซ {
$Prefix="1.2.840.113556.1.8000.2554"
$GUID=[System.Guid]::NewGuid().ToString()
$Parts=@()
$Parts+=[UInt64]::Parse($guid.SubString(0,4),โAllowHexSpecifierโ)
$Parts+=[UInt64]::Parse($guid.SubString(4,4),โAllowHexSpecifierโ)
$Parts+=[UInt64]::Parse($guid.SubString(9,4),โAllowHexSpecifierโ)
$Parts+=[UInt64]::Parse($guid.SubString(14,4),โAllowHexSpecifierโ)
$Parts+=[UInt64]::Parse($guid.SubString(19,4),โAllowHexSpecifierโ)
$Parts+=[UInt64]::Parse($guid.SubString(24,6),โAllowHexSpecifierโ)
$Parts+=[UInt64]::Parse($guid.SubString(30,6),โAllowHexSpecifierโ)
$oid=[String]::Format(ยซ{0}.{1}.{2}.{3}.{4}.{5}.{6}.{7}ยป,$prefix,$Parts[0],
$Parts[1],$Parts[2],$Parts[3],$Parts[4],$Parts[5],$Parts[6])
$oid
}
$schemaPath = (Get-ADrootDSE).schemaNamingContext
$oid = เชจเซเชฏเซ-เชเชเซเชฐเชฟเชฌเซเชฏเซเชเชเชเชกเซ
$attributes = @{
lDAPDisplayName = 'sshPublicKey';
attributeId = $oid;
oMSyntax = 22;
attributeSyntax = "2.5.5.5";
isSingleValued = $true;
adminDescription = 'SSH เชฒเซเชเชฟเชจ เชฎเชพเชเซ เชฏเซเชเชฐ เชชเชฌเซเชฒเชฟเช เชเซ';
}
เชจเชตเซเช-ADObject -เชจเชพเชฎ sshPublicKey -Type attributeSchema -Path $schemapath -OtherAttributes $attributes
$userSchema = get-adobject -SearchBase $schemapath -Filter 'name -eq "user"'
$userSchema | เชธเซเช-ADObject - @{mayContain = 'sshPublicKey'} เชเชฎเซเชฐเซ
เชเชเซเชฐเชฟเชฌเซเชฏเซเช เชเชฎเซเชฐเซเชฏเชพ เชชเชเซ, เชคเชฎเชพเชฐเซ เชเชเซเชเชฟเชต เชกเชฟเชฐเซเชเซเชเชฐเซ เชกเซเชฎเซเชจ เชธเชฐเซเชตเชฟเชธเชจเซ เชฐเชฟเชธเซเชเชพเชฐเซเช เชเชฐเชตเซ เชชเชกเชถเซ.
เชเชพเชฒเซ เชธเชเซเชฐเชฟเชฏ เชกเชฟเชฐเซเชเซเชเชฐเซ เชตเชชเชฐเชพเชถเชเชฐเซเชคเชพเช เชคเชฐเชซ เชเชเชณ เชตเชงเซเช. เช
เชฎเซ เชคเชฎเชพเชฐเชพ เชฎเชพเชเซ เช
เชจเซเชเซเชณ เชเซเชเชชเชฃ เชชเชฆเซเชงเชคเชฟเชจเซ เชเชชเชฏเซเช เชเชฐเซเชจเซ ssh เชเชจเซเชเซเชถเชจ เชฎเชพเชเซ เชเซ เชเซเชกเซ เชเชจเชฐเซเช เชเชฐเซเชถเซเช.
เช
เชฎเซ เชชเซเชเซเชเซเชเซเชจ เชฒเซเชเช เชเชฐเซเช เชเซเช, "เชเชจเชฐเซเช" เชฌเชเชจ เชฆเชฌเชพเชตเซเช เชเซเช เช
เชจเซ เชฎเชพเชเชธเชจเซ เชเชพเชฒเซ เชตเชฟเชธเซเชคเชพเชฐเชฎเชพเช เชเชธเซเชกเซเช เชเซเช.
เชชเซเชฐเชเซเชฐเชฟเชฏเชพ เชชเซเชฐเซเชฃ เชฅเชฏเชพ เชชเชเซ, เช
เชฎเซ เชธเชพเชฐเซเชตเชเชจเชฟเช เช
เชจเซ เชเชพเชจเชเซ เชเซเชจเซ เชธเชพเชเชตเซ เชถเชเซเช เชเซเช, เชธเชพเชฐเซเชตเชเชจเชฟเช เชเซเชจเซ เชเชเซเชเชฟเชต เชกเชฟเชฐเซเชเซเชเชฐเซ เชฏเซเชเชฐ เชเชเซเชฐเชฟเชฌเซเชฏเซเช เชชเชฐ เช
เชชเชฒเซเชก เชเชฐเซ เชถเชเซเช เชเซเช เช
เชจเซ เชชเซเชฐเชเซเชฐเชฟเชฏเชพเชจเซ เชเชจเชเชฆ เชฒเช เชถเชเซเช เชเซเช. เชเซ เชเซ, เชธเชพเชฐเซเชตเชเชจเชฟเช เชเซเชจเซ เชเชชเชฏเซเช "OpenSSH authorized_keys เชซเชพเชเชฒเชฎเชพเช เชชเซเชธเซเช เชเชฐเชตเชพ เชฎเชพเชเซเชจเซ เชธเชพเชฐเซเชตเชเชจเชฟเช เชเซ:".
เชตเชชเชฐเชพเชถเชเชฐเซเชคเชพ เชตเชฟเชถเซเชทเชคเชพเชฎเชพเช เชเซ เชเชฎเซเชฐเซ.
เชตเชฟเชเชฒเซเชช 1 - GUI:
เชตเชฟเชเชฒเซเชช 2 - เชชเชพเชตเชฐเชถเซเชฒ:
get-aduser user1 | set-aduser -add @{sshPublicKey = 'AAAAB...XAVnX9ZRJJ0p/Q=='}
เชคเซเชฅเซ, เช
เชฎเชพเชฐเซ เชชเชพเชธเซ เชนเชพเชฒเชฎเชพเช เชเซ: sshPublicKey เชเชเซเชฐเชฟเชฌเซเชฏเซเช เชญเชฐเซเชฒ เชตเชชเชฐเชพเชถเชเชฐเซเชคเชพ, เชเซเชจเซ เชเชชเชฏเซเช เชเชฐเซเชจเซ เช
เชงเชฟเชเซเชคเชคเชพ เชฎเชพเชเซ เชฐเซเชชเชฐเซเชเชพเชเชเชฟเชค เชชเซเชเซเชเซ เชเซเชฒเชพเชฏเชเช. เชคเซเชฏเชพเช เชเช เชจเชพเชจเซ เชฎเซเชฆเซเชฆเซ เชฐเชนเซ เชเซ: เชตเชชเชฐเชพเชถเชเชฐเซเชคเชพเชจเซ เชตเชฟเชถเซเชทเชคเชพเชเชฎเชพเชเชฅเซ เชเชชเชฃเชจเซ เชเซเชเชคเซ เชธเชพเชฐเซเชตเชเชจเชฟเช เชเซ เชเชพเชขเชตเชพ เชฎเชพเชเซ sshd เชกเชฟเชฎเชจเชจเซ เชเซเชตเซ เชฐเซเชคเซ เชฆเชฌเชพเชฃ เชเชฐเชตเซเช. เชฌเซเชฐเซเชเชฟเชฏเซ เชเชจเซเชเชฐเชจเซเช เชชเชฐ เชฎเชณเซเชฒเซ เชเช เชจเชพเชจเซ เชธเซเชเซเชฐเชฟเชชเซเช เชเชจเซ เชธเชซเชณเชคเชพเชชเซเชฐเซเชตเช เชธเชพเชฎเชจเซ เชเชฐเซ เชถเชเซ เชเซ.
cat /usr/local/bin/fetchSSHKeysFromLDAP
#!/bin/sh
ldapsearch -h testmdt.testopf.local -xb "dc=testopf,dc=local" '(sAMAccountName='"${1%@*}"')' -D [email protected] -w superSecretPassword 'sshPublicKey' | sed -n '/^ /{H;d};/sshPublicKey:/x;$g;s/n *//g;s/sshPublicKey: //gp'เช เชฎเซ เชคเซเชจเชพ เชชเชฐ เชชเชฐเชตเชพเชจเชเซเช เชฐเซเช เชฎเชพเชเซ 0500 เชชเชฐ เชธเซเช เชเชฐเซเช เชเซเช.
chmod 0500 /usr/local/bin/fetchSSHKeysFromLDAP
เช เชเชฆเชพเชนเชฐเชฃเชฎเชพเช, เชเชกเชฎเชฟเชจเชฟเชธเซเชเซเชฐเซเชเชฐ เชเชเชพเชเชจเซเชเชจเซ เชเชชเชฏเซเช เชกเชฟเชฐเซเชเซเชเชฐเซ เชธเชพเชฅเซ เชเซเชกเชพเชตเชพ เชฎเชพเชเซ เชฅเชพเชฏ เชเซ. เชฒเชกเชพเชเชจเซ เชชเชฐเชฟเชธเซเชฅเชฟเชคเชฟเชเชฎเชพเช เช
เชงเชฟเชเชพเชฐเซเชจเชพ เชจเซเชฏเซเชจเชคเชฎ เชธเซเช เชธเชพเชฅเซ เชเช เช
เชฒเช เชเชพเชคเซเช เชนเซเชตเซเช เชเชตเชถเซเชฏเช เชเซ.
เชฐเชพเชเชเซเชธ เชธเซเช เชนเซเชตเชพ เชเชคเชพเช, เชธเซเชเซเชฐเชฟเชชเซเชเชฎเชพเช เชคเซเชจเชพ เชถเซเชฆเซเชง เชธเซเชตเชฐเซเชชเชฎเชพเช เชชเชพเชธเชตเชฐเซเชกเชจเซ เชเซเชทเชฃเชฅเซ เชนเซเช เชตเซเชฏเชเซเชคเชฟเชเชค เชฐเซเชคเซ เชเซเชฌ เช เชฎเซเชเชเชตเชฃเชฎเชพเช เชนเชคเซ.
เชเชเซเชฒเซ เชตเชฟเชเชฒเซเชช:
- เชนเซเช เชชเชพเชธเชตเชฐเซเชกเชจเซ เช
เชฒเช เชซเชพเชเชฒเชฎเชพเช เชธเชพเชเชตเซเช เชเซเช:
echo -n Supersecretpassword > /usr/local/etc/secretpass - เชฎเซเช เชฐเซเช เชฎเชพเชเซ เชซเชพเชเชฒ เชชเชฐเชตเชพเชจเชเซเช 0500 เชชเชฐ เชธเซเช เชเชฐเซ เชเซ
chmod 0500 /usr/local/etc/secretpass - ldapsearch เชฒเซเชจเซเช เชชเชฐเชฟเชฎเชพเชฃเซ เชฌเชฆเชฒเชตเซเช: เชชเชฐเชฟเชฎเชพเชฃ -w superSecretPassword เชนเซเช เชคเซเชจเซ เชฌเชฆเชฒเซเช เชเซเช -y/usr/local/etc/secretpass
เชเชเชจเชพ เชธเซเชฏเซเชเชฎเชพเช เช เชเชคเชฟเชฎ เชคเชพเชฐ sshd_config เชธเชเชชเชพเชฆเชจ เชเซ
cat /etc/ssh/sshd_config | egrep -v -E "#|^$" | grep -E "AuthorizedKeysCommand|PubkeyAuthe"
PubkeyAuthentication yes
AuthorizedKeysCommand /usr/local/bin/fetchSSHKeysFromLDAP
AuthorizedKeysCommandUser root
เชชเชฐเชฟเชฃเชพเชฎเซ, เช เชฎเชจเซ ssh เชเซเชฒเชพเชฏเชเชเชฎเชพเช เชฐเซเชชเชฐเซเชเชพเชเชเชฟเชค เชเซ เช เชงเชฟเชเซเชคเชคเชพ เชธเชพเชฅเซ เชจเซเชเซเชจเซ เชเซเชฐเชฎ เชฎเชณเซ เชเซ:
- เชตเชชเชฐเชพเชถเชเชฐเซเชคเชพ เชคเซเชจเชพ เชฒเซเชเชฟเชจเชจเซ เชธเซเชเชตเซเชจเซ เชธเชฐเซเชตเชฐ เชธเชพเชฅเซ เชเซเชกเชพเชฏ เชเซ.
- sshd เชกเชฟเชฎเชจ, เชธเซเชเซเชฐเชฟเชชเซเช เชฆเซเชตเชพเชฐเชพ, เชธเชเซเชฐเชฟเชฏ เชกเชฟเชฐเซเชเซเชเชฐเซเชฎเชพเช เชตเชชเชฐเชพเชถเชเชฐเซเชคเชพ เชตเชฟเชถเซเชทเชคเชพเชฎเชพเชเชฅเซ เชธเชพเชฐเซเชตเชเชจเชฟเช เชเซ เชฎเซเชฒเซเชฏ เชเชพเชขเซ เชเซ เช เชจเซ เชเซเชจเซ เชเชชเชฏเซเช เชเชฐเซเชจเซ เช เชงเชฟเชเซเชคเชคเชพ เชเชฐเซ เชเซ.
- sssd เชกเชฟเชฎเชจ เชเซเชฅ เชธเชญเซเชฏเชชเชฆ เชชเชฐ เชเชงเชพเชฐเชฟเชค เชตเชชเชฐเชพเชถเชเชฐเซเชคเชพเชจเซ เชตเชงเซ เชชเซเชฐเชฎเชพเชฃเชฟเชค เชเชฐเซ เชเซ. เชงเซเชฏเชพเชจ เชเชชเซ! เชเซ เช เชเซเช เชตเซเชฒ เชจเชฅเซ, เชคเซ เชเซเชเชชเชฃ เชกเซเชฎเซเชจ เชตเชชเชฐเชพเชถเชเชฐเซเชคเชพเชจเซ เชนเซเชธเซเชเชจเซ เชเชเซเชธเซเชธ เชนเชถเซ.
- เชเซเชฏเชพเชฐเซ เชคเชฎเซ sudo เชเชฐเชตเชพเชจเซ เชชเซเชฐเชฏเชพเชธ เชเชฐเซ เชเซ, เชคเซเชฏเชพเชฐเซ sssd เชกเชฟเชฎเชจ เชญเซเชฎเชฟเชเชพเช เชฎเชพเชเซ เชธเชเซเชฐเชฟเชฏ เชกเชฟเชฐเซเชเซเชเชฐเซ เชถเซเชงเซ เชเซ. เชเซ เชญเซเชฎเชฟเชเชพเช เชนเชพเชเชฐ เชนเซเชฏ, เชคเซ เชตเชชเชฐเชพเชถเชเชฐเซเชคเชพเชจเซ เชตเชฟเชถเซเชทเชคเชพเช เช เชจเซ เชเซเชฅ เชธเชญเซเชฏเชชเชฆ เชคเชชเชพเชธเชตเชพเชฎเชพเช เชเชตเซ เชเซ (เชเซ sudoRoles เชตเชชเชฐเชพเชถเชเชฐเซเชคเชพ เชเซเชฅเซเชจเซ เชเชชเชฏเซเช เชเชฐเชตเชพ เชฎเชพเชเซ เชเซเช เชตเซเชฒ เชนเซเชฏ)
เชเซเชฒ.
เชเชฎ, เชเซเช เชเชเซเชเชฟเชต เชกเชฟเชฐเซเชเซเชเชฐเซ เชฏเซเชเชฐ เชเชเซเชฐเชฟเชฌเซเชฏเซเชเซเชธ, เชธเซเชกเซ เชชเชฐเชตเชพเชจเชเซเชเชฎเชพเช เชธเชเชเซเชฐเชนเชฟเชค เชฅเชพเชฏ เชเซ - เชคเซเชตเซ เช เชฐเซเชคเซ, เชกเซเชฎเซเชจ เชเชเชพเชเชจเซเชเซเชธ เชฆเซเชตเชพเชฐเชพ เชฒเชฟเชจเชเซเชธ เชนเซเชธเซเชเชจเซ เชเชเซเชธเซเชธ เชเชเซเชเชฟเชต เชกเชฟเชฐเซเชเซเชเชฐเซ เชเซเชฅเชฎเชพเช เชธเชญเซเชฏเชชเชฆ เชคเชชเชพเชธเซเชจเซ เชนเชพเชฅ เชงเชฐเชตเชพเชฎเชพเช เชเชตเซ เชเซ.
เชเชเชกเชเซเชเชฐเชจเชพ เชฆเชเชกเชพเชจเซ เช
เชเชคเชฟเชฎ เชคเชฐเชเช - เช
เชจเซ เชนเซเชฒ เชเชฆเชฐเชฃเซเชฏ เชฎเซเชจเชฎเชพเช เชฅเซเชเซ เชเชพเชฏ เชเซ.
เชฒเซเชเชฟเชคเชฎเชพเช เชตเชชเชฐเชพเชคเชพ เชธเชเชธเชพเชงเชจเซ:
เชธเซเชฐเซเชธ: www.habr.com