เปเบเบเบฐเบซเบงเบฑเบเบชเบฒเบ, เบเบฒเบเบญเบฐเบเบธเบเบฒเบ sudo เปเบเปเบเบทเบเบเบธเปเบกเบเบญเบเปเบเบเปเบเบทเปเบญเปเบเบเบญเบเปเบเบฅเปเบเบฒเบ /etc/sudoers.d ะธ เบงเบตเบเบฒเปเบ, เปเบฅเบฐเบเบฒเบเบญเบฐเบเบธเบเบฒเบเบเบตเปเบชเปเบฒเบเบฑเบเปเบเปเบเบทเบเบเบฐเบเบดเบเบฑเบเปเบเบเปเบเป ~/.ssh/authorized_keys. เปเบเบดเบเบขเปเบฒเบเปเบเบเปเปเบเบฒเบก, เปเบกเบทเปเบญเบเบทเปเบเบเบฒเบเปเบเบเบฅเปเบฒเบเบเบฐเบซเบเบฒเบเบเบปเบง, เบกเบตเบเบงเบฒเบกเบเปเบญเบเบเบฒเบเบเบตเปเบเบฐเบเบธเปเบกเบเบญเบเบชเบดเบเบเบดเปเบซเบผเบปเปเบฒเบเบตเปเปเบเบเบชเบนเบเบเบฒเบ. เบกเบทเปโเบเบตเปโเบญเบฒเบโเบเบฐโเบกเบตโเบเบฒเบโเปเบฅเบทเบญเบโเปเบโเบเบฒเบโเปเบเปโเปเบโเบซเบผเบฒเบโ:
- เบฅเบฐเบเบปเบเบเบฒเบเบเบฑเบเบเบฒเบเบเบฒเบเบเบฑเปเบเบเปเบฒ - เบซเบปเบง, เบเปเบฒ, เบเบงเบฒเบกเปเบเบปเปเบฒเปเบ, เปเบเบทเบญ
- Active Directory + ssd
- perversions เบเปเบฒเบเปเปเบเบฎเบนเบเปเบเบเบเบญเบเบชเบฐเบเบดเบเปเบฅเบฐเบเบฒเบเปเบเปเปเบเปเบเบฅเปเบเบนเปเบกเบท
เปเบเบเบงเบฒเบกเบเบดเบเปเบซเบฑเบเบเบญเบเบเปเบญเบ, เบเบฒเบเปเบฅเบทเบญเบเบเบตเปเบเบตเบเบตเปเบชเบธเบเบชเปเบฒเบฅเบฑเบเบเบฒเบเบเบธเปเบกเบเบญเบเบชเบนเบเบเบฒเบเปเบกเปเบเบเบฑเบเบเบฐเบชเบปเบกเบเบฐเบชเบฒเบ Active Directory + ssd. เบเปเปเบเบตเบเบญเบเบงเบดเบเบตเบเบฒเบเบเบตเปเปเบกเปเบ:
- เปเบเปเปเปเบเบฑเบเบฅเบฐเบเบปเบเบเบนเปเปเบเปเบชเบนเบเบเบฒเบเบญเบฑเบเบเบฝเบง.
- เบเบฒเบเปเบเบเบขเบฒเบเบชเบดเบเบเบด sudo เบกเบฒเปเบเบดเบเบเบฒเบเปเบเบตเปเบกเบเบนเปเปเบเปเปเบเบปเปเบฒเปเบเบเบธเปเบกเบเบงเบฒเบกเบเบญเบเปเบเบชเบฐเปเบเบฒเบฐ.
- เปเบเบเปเบฅเบฐเบเบตเบเบญเบเบฅเบฐเบเบปเบ Linux เบเปเบฒเบเป, เบกเบฑเบเปเบเบฑเบเบชเบดเปเบเบเปเบฒเปเบเบฑเบเบเบตเปเบเบฐเปเบเบฐเบเปเบฒเบเบฒเบเบเบงเบเบชเบญเบเปเบเบตเปเบกเปเบเบตเบกเปเบเบทเปเบญเบเปเบฒเบเบปเบ OS เปเบเปเบงเบฅเบฒเบเบตเปเปเบเปเบฅเบฐเบเบปเบเบเบฒเบเบเบฑเปเบเบเปเบฒ.
เบเบธเบเบเบญเบเบกเบทเปเบเบตเปเบเบฐเบญเบธเบเบดเบเบเบปเบเปเบเบเบชเบฐเปเบเบฒเบฐเบเบฑเบเบเบฒเบเปเบเบทเปเบญเบกเบเปเป Active Directory + ssd เบชเปเบฒเบฅเบฑเบเบเบฒเบเบเบธเปเบกเบเบญเบเบชเบดเบเบเบด sudo เปเบฅเบฐเบเบฒเบเปเบเบฑเบเบฎเบฑเบเบชเบฒ ssh เบเบฐเปเบเปเบเบเปเบญเบเปเบเบฑเบเบกเปเบฝเบเบญเบฑเบเบเบฝเบง.
เบเบฑเปเบเบเบฑเปเบ, เบซเปเบญเบเปเบเบเบเบถเปเบเปเบขเบฑเบเบฅเบปเบเปเบเบเบงเบฒเบกเบเบฝเบเบชเบฐเบซเบเบปเบ, เบเบนเปเบเบงเบเบเบธเบกเปเบเปเบเบปเบเบเบฐเบเบญเบเบเบถเปเบ, เปเบฅเบฐเบงเบปเบเบเบปเบเบเบตเบเบฝเบกเบเปเบญเบก.
เปเบ.
เบกเบญเบเปเบซเป:
โ Active Directory เปเบโเปเบกเบโ testopf.เบเปเบญเบเบเบดเปเบ เปเบ Windows Server 2012 R2.
- Linux host เปเบฅเปเบ Centos 7
- เบเบฒเบโเบญเบฐโเบเบธโเบเบฒเบโเบเปเบฒโเบเบปเบโเบเบฒเบโเบเปเบฒโเปเบเปโ ssd
เบเบฑเบเบชเบญเบเบเบฒเบเปเบเปเปเบเปเบฎเบฑเบเปเบซเปเบกเบตเบเบฒเบเบเปเบฝเบเปเบเบ schema Active Directory, เบเบฑเปเบเบเบฑเปเบเบเบงเบเปเบฎเบปเบฒเบเบงเบเปเบเบดเปเบเบเบธเบเบชเบดเปเบเบเบธเบเบขเปเบฒเบเปเบเบชเบฐเบเบฒเบเปเบงเบเบฅเปเบญเบกเบเบฒเบเบเบปเบเบชเบญเบเปเบฅเบฐเบเบฝเบเปเบเปเบซเบผเบฑเบเบเบฒเบเบเบฑเปเบเปเบฎเบฑเบเปเบซเปเบกเบตเบเบฒเบเบเปเบฝเบเปเบเบเปเบเบเบชเปเบฒเบเบเบทเปเบเบเบฒเบเบเบฒเบเปเบฎเบฑเบเบงเบฝเบ. เบเปเบฒเบเบฐเปเบเบปเปเบฒเบขเบฒเบเบชเบฑเบเปเบเบเบงเปเบฒเบเบฒเบเบเปเบฝเบเปเบเบเบเบฑเบเบซเบกเบปเบเปเบกเปเบเปเบเบปเปเบฒเบซเบกเบฒเบเปเบฅเบฐ, เปเบเบเบงเบฒเบกเปเบเบฑเบเบเบดเบ, เปเบเบตเปเบกเบเบฝเบเปเบเปเบเบธเบเบฅเบฑเบเบชเบฐเบเบฐเปเบฅเบฐเบเบฑเปเบเบฎเบฝเบเบเบตเปเบเปเบฒเปเบเบฑเบ.
เบเบฒเบเบเบฐเบเบดเบเบฑเบ 1: เบเบฒเบเบเบงเบเบเบธเบก sudo เบเบฒเบฅเบฐเบเบปเบเบเบฒเบเปเบเบเบเปเบฒเบ Active Directory.
เปเบเบทเปเบญเบเบฐเบซเบเบฒเบเบงเบปเบเบเบญเบ Active Directory เบเปเบฒเบเบเปเบฒเปเบเบฑเบเบเปเบญเบเปเบเปเบเบฒเบงเบเปเปเบซเบฅเบเบชเบฐเบเบฑเบเบซเบฅเปเบฒเบชเบธเบ โ 1.8.27 เบเบญเบโเบกเบทเปโเบเบตเปโ. Unpack เปเบฅเบฐเบเบฑเบเบฅเบญเบเปเบเบฅเป schema.ActiveDirectory เบเบฒเบเปเบเปเบฅเบเบฐเบเปเบฅเบต ./doc เปเบเบซเบฒเบเบปเบงเบเบงเบเบเบธเบกเปเบเปเบกเบ. เบเบฒเบเบเบฑเบเบเบฑเบเบเปเบฒเบชเบฑเปเบเบเบตเปเบกเบตเบชเบดเบเบเบดเบเบนเปเบเปเบฅเบดเบซเบฒเบเบเบฒเบเปเบเปเบฅเบเบฐเบเปเบฅเบตเบเบตเปเปเบเบฅเปเปเบเปเบเบทเบเบเบฑเบเบฅเบญเบ, เบเปเบฒเปเบเบตเบเบเบฒเบ:
ldifde -i -f schema.ActiveDirectory -c dc=X dc=testopf,dc=local
(เบขเปเบฒเบฅเบทเบกเบเปเบฝเบเบเปเบฒเบเบญเบเปเบเบปเปเบฒ)
เปเบเบตเบ adsiedit.msc เปเบฅเบฐเปเบเบทเปเบญเบกเบเปเปเบเบฑเบเบเปเบฅเบดเบเบปเบเปเบฅเบตเปเบกเบเบปเปเบ:
เบชเปเบฒเบเบเบฒเบเปเบเปเบเบเบฑเบเบขเบนเปเบฎเบฒเบเบเบญเบเปเบเปเบกเบ เปเบชเบทเปเบญเบเบฑเบเบซเบเบฒเบง. (เบเบงเบ bourgeoisie stubbornly เบญเปเบฒเบเบงเปเบฒเบกเบฑเบเบขเบนเปเปเบเบซเบเปเบงเบเบเบตเป demon ssd เบเบญเบเบซเบฒเบฅเบฒเบเบเบฒเบ sudoRole เบงเบฑเบเบเบธ. เบขเปเบฒเบเปเบเบเปเบเบฒเบก, เบซเบผเบฑเบเบเบฒเบเปเบเบตเบเบเบฒเบเปเบเปเบเบฑเบเบซเบฒเบขเปเบฒเบเบฅเบฐเบญเบฝเบเปเบฅเบฐเบเบฒเบเบชเบถเบเบชเบฒเบเบฑเบเบเบถเบ, เบกเบฑเบเปเบเปเบเบทเบเปเบเบตเบเปเบเบตเบเบงเปเบฒเบเบฒเบเบเบปเปเบเบซเบฒเปเบเปเบเบทเบเบเบฐเบเบดเบเบฑเบเปเบเบเบปเปเบงเบเบปเปเบเปเบกเปเปเบเปเบฅเบเบฐเบเปเบฅเบตเบเบฑเบเบซเบกเบปเบ.)
เบเบงเบเปเบฎเบปเบฒเบชเปเบฒเบเบงเบฑเบเบเบธเบเปเบฒเบญเบดเบเบเบตเปเปเบเบฑเบเบเบญเบเบซเปเบญเบเบฎเบฝเบเปเบเบเบฐเปเบเบ sudoRole. เบเบทเปเบชเบฒเบกเบฒเบเปเบฅเบทเบญเบเปเบเปเบขเปเบฒเบเปเบเปเบเบดเบ, เปเบเบฒเบฐเบงเปเบฒเบกเบฑเบเบฎเบฑเบเปเบเปเบเบฝเบเปเบเปเบชเปเบฒเบฅเบฑเบเบเบฒเบเบเปเบฒเบเบปเบเบเบตเปเบชเบฐเบเบงเบ.
เปเบเบเบฑเบเบเบฒเบเบธเบเบฅเบฑเบเบชเบฐเบเบฐเบเบตเปเปเบเบฑเบเปเบเปเบเปเบเบฒเบเบเบฒเบเบเบฐเบซเบเบฒเบ schema, เบฅเบฑเบเบชเบฐเบเบฐเบเบปเปเบเบเปเปเบกเปเบเบเบฑเปเบเบเปเปเปเบเบเบตเป:
- sudoCommand โ เบเปเบฒเบเบปเบเบงเปเบฒเบเปเบฒเบชเบฑเปเบเปเบเบเบทเบเบญเบฐเบเบธเบเบฒเบเปเบซเปเบเบฐเบเบดเบเบฑเบเบขเบนเปเปเบเปเบฎเบ.
- sudoHost โ เบเบณเบเบปเบโเบงเปเบฒโเปเบเบปเปเบฒโเปเปเบฒเบเบตเปโเบเบตเปโเปเบเปโเปเบเปโเบเบฑเบโเปเบเบปเปเบฒโเปเปเบฒเบเบตเปโเปเบ. เบชเบฒเบกเบฒเบเบฅเบฐเบเบธเปเบเบฑเบ เบเบฑเบเบซเบกเบปเบ, เปเบฅเบฐเบชเปเบฒเบฅเบฑเบเปเบเบปเปเบฒเบเบฒเบเบชเปเบงเบเบเบธเบเบเบปเบเปเบเบเบเบทเป. เบกเบฑเบเปเบเบฑเบเปเบเปเบเปเบเบตเปเบเบฐเปเบเปเบซเบเปเบฒเบเบฒเบ.
- sudoUser โ เบเบตเปเบเบญเบเบงเปเบฒเบเบนเปเปเบเปเปเบเบเบทเบเบญเบฐเบเบธเบเบฒเบเปเบซเปเบเบฐเบเบดเบเบฑเบ sudo.
เบเปเบฒเบเปเบฒเบเบฅเบฐเบเบธเบเบธเปเบกเบเบงเบฒเบกเบเบญเบเปเบ, เปเบซเปเปเบเบตเปเบกเปเบเบทเปเบญเบเปเบฒเบ โ%โ เบขเบนเปเบเบปเปเบเบเบทเป. เบเปเบฒเบกเบตเบเปเบญเบเบซเบงเปเบฒเบเบขเบนเปเปเบเบเบทเปเบเบธเปเบก, เบเปเปเบกเบตเบซเบเบฑเบเบเบตเปเบเบฐเบเบฑเบเบงเบปเบ. เบเบฒเบเบเบฑเบเบชเบดเบเปเบเบเปเบกเปเบเปเบญเบ, เบงเบฝเบเบเบฒเบเบเบญเบเบเบฒเบเบซเบฅเบปเบเบซเบเบตเบชเบฐเบเบฒเบเบเบตเปเบเบทเบเบเบฐเบเบดเบเบฑเบเปเบเบเบเบปเบเปเบ ssd.
Fig 1. sudoRole objects เปเบ subdivision sudoers เปเบ root เบเบญเบ directory
เบฎเบนเบ 2. เบชเบฐเบกเบฒเบเบดเบเปเบเบเบธเปเบกเบเบงเบฒเบกเบเบญเบเปเบเบเบตเปเบฅเบฐเบเบธเปเบงเปเปเบเบงเบฑเบเบเบธ sudoRole.
เบเบฒเบเบเบดเบเบเบฑเปเบเบเปเปเปเบเบเบตเปเปเบกเปเบเปเบฎเบฑเบเบขเบนเปเบเปเบฒเบ Linux.
เปเบเปเบเบฅเป /etc/nsswitch.conf เปเบเบตเปเบกเปเบเบงเปเบชเปเบเปเบฒเบเปเบเบฅเป:
sudoers: files sssเปเบเปเบเบฅเป /etc/sssd/sssd.conf เปเบเบเบฒเบ [ssd] เปเบเบตเปเบกเปเบชเปเบเบฒเบเบเปเบฅเบดเบเบฒเบ sudo
cat /etc/sssd/sssd.conf | grep services
services = nss, pam, sudo
เบซเบผเบฑเบเบเบฒเบเบเบฒเบเบเปเบฒเปเบเบตเบเบเบฒเบเบเบฑเบเบซเบกเบปเบ, เบเปเบฒเบเบเปเบฒเปเบเบฑเบเบเปเบญเบเบฅเปเบฒเบ cache daemon sssd. เบเบฒเบเบญเบฑเบเปเบเบเบญเบฑเบเบเบฐเปเบเบกเบฑเบเปเบเบตเบเบเบถเปเบเบเบธเบเป 6 เบเบปเปเบงเปเบกเบ, เปเบเปเปเบเบฑเบเบซเบเบฑเบเบเบงเบเปเบฎเบปเบฒเบเบถเปเบเบเปเบญเบเบฅเปเบเปเบฒเบเบปเบเบซเบผเบฒเบเปเบกเบทเปเบญเบเบงเบเปเบฎเบปเบฒเบเปเบญเบเบเบฒเบเบกเบฑเบเบเบญเบเบเบตเป?
sss_cache -Eเบกเบฑเบเบกเบฑเบเบเบฐเปเบเบตเบเบเบทเปเบเบงเปเบฒเบเบฒเบเบฅเปเบฒเบเปเบเบเบเปเปเปเบเปเบเปเบงเบ. เบซเบผเบฑเบเบเบฒเบเบเบฑเปเบ, เบเบงเบเปเบฎเบปเบฒเบขเบธเบเปเบเบปเบฒเบเบฒเบเบเปเบฅเบดเบเบฒเบ, เปเบฎเบฑเบเบเบงเบฒเบกเบชเบฐเบญเบฒเบเบเบฒเบเบเปเปเบกเบนเบ, เปเบฅเบฐเปเบฅเบตเปเบกเบเบปเปเบเบเบฒเบเบเปเบฅเบดเบเบฒเบ.
service sssd stop
rm -rf /var/lib/sss/db/*
service sssd start
เบเบงเบเปเบฎเบปเบฒเปเบเบทเปเบญเบกเบเปเปเปเบเบฑเบเบเบนเปเปเบเปเบเปเบฒเบญเบดเบเปเบฅเบฐเบเบงเบเปเบเบดเปเบเบชเบดเปเบเบเบตเปเบกเบตเปเบซเปเบเบฑเบเบฅเบฒเบงเบเบฒเบเปเบเป sudo:
su user1
[user1@testsshad log]$ id
uid=1109801141(user1) gid=1109800513(domain users) groups=1109800513(domain users),1109801132(admins_)
[user1@testsshad log]$ sudo -l
[sudo] password for user1:
Matching Defaults entries for user1 on testsshad:
!visiblepw, always_set_home, match_group_by_gid, always_query_group_plugin,
env_reset, env_keep="COLORS DISPLAY HOSTNAME HISTSIZE KDEDIR LS_COLORS",
env_keep+="MAIL PS1 PS2 QTDIR USERNAME LANG LC_ADDRESS LC_CTYPE",
env_keep+="LC_COLLATE LC_IDENTIFICATION LC_MEASUREMENT LC_MESSAGES",
env_keep+="LC_MONETARY LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE",
env_keep+="LC_TIME LC_ALL LANGUAGE LINGUAS _XKB_CHARSET XAUTHORITY",
secure_path=/sbin:/bin:/usr/sbin:/usr/bin
User user1 may run the following commands on testsshad:
(root) /usr/bin/ls, /usr/bin/catเบเบงเบเปเบฎเบปเบฒเปเบฎเบฑเบเปเบเบฑเปเบเบเบฝเบงเบเบฑเบเบเบฑเบเบเบนเปเปเบเปเบเบตเบชเบญเบเบเบญเบเบเบงเบเปเบฎเบปเบฒ:
su user2
[user2@testsshad log]$ id
uid=1109801142(user2) gid=1109800513(domain users) groups=1109800513(domain users),1109801138(sudo_root)
[user2@testsshad log]$ sudo -l
Matching Defaults entries for user2 on testsshad:
!visiblepw, always_set_home, match_group_by_gid, always_query_group_plugin,
env_reset, env_keep="COLORS DISPLAY HOSTNAME HISTSIZE KDEDIR LS_COLORS",
env_keep+="MAIL PS1 PS2 QTDIR USERNAME LANG LC_ADDRESS LC_CTYPE",
env_keep+="LC_COLLATE LC_IDENTIFICATION LC_MEASUREMENT LC_MESSAGES",
env_keep+="LC_MONETARY LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE",
env_keep+="LC_TIME LC_ALL LANGUAGE LINGUAS _XKB_CHARSET XAUTHORITY",
secure_path=/sbin:/bin:/usr/sbin:/usr/bin
User user2 may run the following commands on testsshad:
(root) ALL
เบงเบดเบเบตเบเบฒเบเบเบตเปเบเปเบงเบเปเบซเปเบเปเบฒเบเบชเบฒเบกเบฒเบเบเปเบฒเบเบปเบเบเบปเบเบเบฒเบ sudo เปเบเบเบชเบนเบเบเบฒเบเบชเปเบฒเบฅเบฑเบเบเบธเปเบกเบเบนเปเปเบเปเบเบตเปเปเบเบเบเปเบฒเบเบเบฑเบ.
เบเบฒเบเปเบเบฑเบเบฎเบฑเบเบชเบฒเปเบฅเบฐเบเปเบฒเปเบเปเบเบฐเปเบ ssh เปเบ Active Directory
เบเปเบงเบเบเบฒเบเบเบฐเบซเบเบฒเบเปเบเบเบเบฒเบเปเบฅเบฑเบเบเปเบญเบ, เบกเบฑเบเปเบเบฑเบเปเบเปเบเปเบเบตเปเบเบฐเปเบเบฑเบเบฎเบฑเบเบชเบฒเบเบฐเปเบ ssh เปเบเบเบธเบเบชเบปเบกเบเบฑเบเบเบนเปเปเบเป Active Directory เปเบฅเบฐเบเปเบฒเปเบเปเบเบงเบเบกเบฑเบเปเบเปเบงเบฅเบฒเบเบตเปเบญเบฐเบเบธเบเบฒเบเปเบ Linux hosts.
เบเบฒเบเบญเบฐเบเบธเบเบฒเบเบเปเบฒเบ sssd เบเปเบญเบเปเบเปเบฎเบฑเบเบเบฒเบเบเบฑเปเบเบเปเบฒ.
เปเบเบตเปเบกเบเบธเบเบชเบปเบกเบเบฑเบเบเบตเปเบเปเบญเบเบเบฒเบเปเบเบเปเบเปเบชเบฐเบเบฃเบดเบ PowerShell.
AddsshPublicKeyAttribute.ps1เบเบฑเบเบเบฑเบ New-AttributeID {
$Prefix="1.2.840.113556.1.8000.2554"
$GUID=[System.Guid]::NewGuid().ToString()
$Parts=@()
$Parts+=[UInt64]::Parse($guid.SubString(0,4),โAllowHexSpecifierโ)
$Parts+=[UInt64]::Parse($guid.SubString(4,4),โAllowHexSpecifierโ)
$Parts+=[UInt64]::Parse($guid.SubString(9,4),โAllowHexSpecifierโ)
$Parts+=[UInt64]::Parse($guid.SubString(14,4),โAllowHexSpecifierโ)
$Parts+=[UInt64]::Parse($guid.SubString(19,4),โAllowHexSpecifierโ)
$Parts+=[UInt64]::Parse($guid.SubString(24,6),โAllowHexSpecifierโ)
$Parts+=[UInt64]::Parse($guid.SubString(30,6),โAllowHexSpecifierโ)
$oid=[String]::Format(ยซ{0}.{1}.{2}.{3}.{4}.{5}.{6}.{7}ยป,$prefix,$Parts[0],
$Parts[1],$Parts[2],$Parts[3],$Parts[4],$Parts[5],$Parts[6])
$oid
}
$schemaPath = (Get-ADRootDSE).schemaNamingContext
$oid = New-AttributeID
$attributes = @{
lDAPDisplayName = 'sshPublicKey';
attributeId = $oid;
oMSyntax = 22;
attributeSyntax = "2.5.5.5" ;
isSingleValued = $true;
adminDescription = 'เบเบฐเปเบเบชเบฒเบเบฒเบฅเบฐเบเบฐเบเบญเบเบเบนเปเปเบเปเบชเบณเบฅเบฑเบเบเบฒเบเปเบเบปเปเบฒเบชเบนเปเบฅเบฐเบเบปเบ SSH';
}
New-ADObject -Name sshPublicKey -Type attributeSchema -Path $schemapath -OtherAttributes $attributes
$userSchema = get-adobject -SearchBase $schemapath -Filter 'name -eq "user"'
$userSchema | Set-ADObject -Add @{mayContain = 'sshPublicKey'}
เบซเบผเบฑเบเบเบฒเบเปเบเบตเปเบกเบเบธเบเบชเบปเบกเบเบฑเบ, เบเปเบฒเบเบเปเบญเบเปเบเบตเบเบเปเบฅเบดเบเบฒเบ Active Directory Domain Services เบเบทเบเปเปเป.
เปเบซเปเบเปเบฒเบงเปเบเบชเบนเปเบเบนเปเปเบเป Active Directory. เบเบงเบเปเบฎเบปเบฒเบเบฐเบชเปเบฒเบเบเบนเปเบเบตเบชเปเบฒเบฅเบฑเบเบเบฒเบเปเบเบทเปเบญเบกเบเปเป ssh เปเบเบเปเบเปเบงเบดเบเบตเบเบฒเบเปเบเบเปเปเปเบเปเบเบตเปเบชเบฐเบเบงเบเบชเปเบฒเบฅเบฑเบเบเปเบฒเบ.
เบเบงเบเปเบฎเบปเบฒเปเบเบตเบเบเบปเบง PuttyGen, เบเบปเบเบเบธเปเบก "เบชเปเบฒเบ" เปเบฅเบฐเบเปเบฒเบเบซเบเบนเบขเบนเปเปเบเบเบทเปเบเบเบตเปเบซเบงเปเบฒเบเปเบเบปเปเบฒ.
เปเบกเบทเปเบญเบชเปเบฒเปเบฅเบฑเบเบเบฐเบเบงเบเบเบฒเบ, เบเบงเบเปเบฎเบปเบฒเบชเบฒเบกเบฒเบเบเบฑเบเบเบถเบเบเบฐเปเบเบชเบฒเบเบฒเบฅเบฐเบเบฐเปเบฅเบฐเปเบญเบเบฐเบเบปเบ, เบญเบฑเบเปเบซเบฅเบเบฅเบฐเบซเบฑเบเบชเบฒเบเบฒเบฅเบฐเบเบฐเปเบซเปเบเบฑเบเบเบธเบเบฅเบฑเบเบชเบฐเบเบฐเบเบนเปเปเบเป Active Directory เปเบฅเบฐเปเบเบตเบเปเบเบตเบเบเบฑเบเบเบฐเบเบงเบเบเบฒเบ. เบขเปเบฒเบเปเบเบเปเปเบเบฒเบก, เบเบธเบเปเบเบชเบฒเบเบฒเบฅเบฐเบเบฐเบเปเบญเบเบเบทเบเบเปเบฒเปเบเปเบเบฒเบ "เบเบฐเปเบเบชเบฒเบเบฒเบฅเบฐเบเบฐเบชเบณเบฅเบฑเบเบเบฒเบเบงเบฒเบเปเบชเปเปเบเบฅเป OpenSSH authorized_keys:"
เปเบเบตเปเบกเบเบตเบเบฑเบเบเบธเบเบฅเบฑเบเบชเบฐเบเบฐเบเบญเบเบเบนเปเปเบเป.
เบเบฒเบเปเบฅเบทเบญเบ 1 - GUI:
เบเบฒเบโเปเบฅเบทเบญเบ 2 - PowerShellโ:
get-aduser user1 | set-aduser -add @{sshPublicKey = 'AAAAB...XAVnX9ZRJJ0p/Q=='}
เบเบฑเปเบเบเบฑเปเบ, เบเบฐเบเบธเบเบฑเบเบเบงเบเปเบฎเบปเบฒเบกเบต: เบเบนเปเปเบเปเบเบตเปเบกเบตเบเบธเบเบฅเบฑเบเบชเบฐเบเบฐ sshPublicKey เปเบเบฑเบกเปเบ, เบฅเบนเบเบเปเบฒ Putty เบเบตเปเบเบทเบเบเบฑเปเบเบเปเบฒเบชเปเบฒเบฅเบฑเบเบเบฒเบเบญเบฐเบเบธเบเบฒเบเปเบเบเปเบเปเบเบฐเปเบ. เบเบฑเบเบกเบตเบเบธเบเบเปเบญเบเปเบญเบฑเบเปเบถเปเบ: เบงเบดเบเบตเบเบฒเบเบเบฑเบเบเบฑเบ sshd daemon เปเบเบทเปเบญเบชเบฐเบเบฑเบเบฅเบฐเบซเบฑเบเบชเบฒเบเบฒเบฅเบฐเบเบฐเบเบตเปเบเบงเบเปเบฎเบปเบฒเบเปเบญเบเบเบฒเบเบเบฒเบเบเบธเบเบฅเบฑเบเบชเบฐเบเบฐเบเบญเบเบเบนเปเปเบเป. script เบเปเบญเบเปเบเบตเปเบเบปเบเปเบซเบฑเบเบขเบนเปเปเบเบญเบดเบเปเบเบตเปเบเบฑเบ bourgeois เบชเบฒเบกเบฒเบเบฎเบฑเบเบกเบทเบเบฑเบเบชเบดเปเบเบเบตเปเปเบเปเบขเปเบฒเบเบชเปเบฒเปเบฅเบฑเบเบเบปเบ.
cat /usr/local/bin/fetchSSHKeysFromLDAP
#!/bin/sh
ldapsearch -h testmdt.testopf.local -xb "dc=testopf,dc=local" '(sAMAccountName='"${1%@*}"')' -D [email protected] -w superSecretPassword 'sshPublicKey' | sed -n '/^ /{H;d};/sshPublicKey:/x;$g;s/n *//g;s/sshPublicKey: //gp'เบเบงเบเปเบฎเบปเบฒเบเปเบฒเบเบปเบเบเบฒเบเบญเบฐเบเบธเบเบฒเบเปเบเบกเบฑเบเปเบเบฑเบ 0500 เบชเปเบฒเบฅเบฑเบเบฎเบฒเบ.
chmod 0500 /usr/local/bin/fetchSSHKeysFromLDAP
เปเบเบเบปเบงเบขเปเบฒเบเบเบตเป, เบเบฑเบเบเบตเบเบนเปเบเปเบฅเบดเบซเบฒเบเบเบทเบเบเปเบฒเปเบเปเปเบเบทเปเบญเบเบนเบเบกเบฑเบเบเบฑเบเปเบเปเบฅเบเบฐเบเปเบฅเบต. เปเบเปเบเบทเปเบญเบเปเบเบเบฒเบเบเปเปเบชเบนเปเบเปเบญเบเบกเบตเบเบฑเบเบเบตเปเบเบเบเปเบฒเบเบซเบฒเบเบเบตเปเบกเบตเบชเบดเบเบเบดเบเบฑเปเบเบเปเปเบฒ.
เบเปเบฒเบเบฐเปเบเบปเปเบฒเบชเปเบงเบเบเบธเบเบเบปเบเปเบเปเบชเบฑเบเบชเบปเบเบซเบผเบฒเบเปเบเบเบเบฑเบเบเบธเบเบฑเบเบเบญเบเบฅเบฐเบซเบฑเบเบเปเบฒเบเปเบเบฎเบนเบเปเบเบเบเปเบฅเบดเบชเบธเบเบเบญเบเบกเบฑเบเบขเบนเปเปเบเบชเบฐเบเบดเบ, เปเบเบดเบเบงเปเบฒเบเบฐเบกเบตเบชเบดเบเบเบดเบเบตเปเบเปเบฒเบเบปเบเปเบงเป.
เบเบฒเบเปเบฅเบทเบญเบเปเบเบเบฒเบเปเบเปเปเบ:
- เบเปเบญเบเบเบฑเบเบเบถเบเบฅเบฐเบซเบฑเบเบเปเบฒเบเปเบเปเบเบฅเปเปเบเบเบเปเบฒเบเบซเบฒเบ:
echo -n Supersecretpassword > /usr/local/etc/secretpass - เบเปเบญเบเบเบฑเปเบเบเบฒเบเบญเบฐเบเบธเบเบฒเบเปเบเบฅเปเปเบเบฑเบ 0500 เบชเปเบฒเบฅเบฑเบเบฎเบฒเบ
chmod 0500 /usr/local/etc/secretpass - เบเบฒเบเบเปเบฝเบเปเบเบเบเบปเบงเบเปเบฒเบเบปเบเบเบฒเบเปเบเบตเบเบเบปเบง ldapsearch: เบเบฒเบฅเบฒเบกเบดเปเบเบต -w superSecretPassword เบเปเบญเบเบเปเบฝเบเปเบเบฑเบ -y /usr/local/etc/secretpass
chord เบชเบธเบเบเปเบฒเบเปเบเบเบธเบเบกเบทเปเบเบตเปเปเบกเปเบเบเบฒเบเปเบเปเปเบ sshd_config
cat /etc/ssh/sshd_config | egrep -v -E "#|^$" | grep -E "AuthorizedKeysCommand|PubkeyAuthe"
PubkeyAuthentication yes
AuthorizedKeysCommand /usr/local/bin/fetchSSHKeysFromLDAP
AuthorizedKeysCommandUser root
เบเบฑเปเบเบเบฑเปเบ, เบเบงเบเปเบฎเบปเบฒเปเบเปเบฎเบฑเบเบฅเปเบฒเบเบฑเบเบเปเปเปเบเบเบตเปเบเปเบงเบเบเบฒเบเบญเบฐเบเบธเบเบฒเบเบเบตเปเบชเปเบฒเบเบฑเบเบเบตเปเบเปเบฒเบซเบเบปเบเบเปเบฒเบขเบนเปเปเบเบฅเบนเบเบเปเบฒ ssh:
- เบเบนเปเปเบเปเปเบเบทเปเบญเบกเบเปเปเบเบฑเบเปเบเบทเปเบญเบเปเบกเปเบเปเบฒเบเปเบเบเบเบฒเบเบเบตเปเบเบญเบเบเบฒเบเปเบเบปเปเบฒเบชเบนเปเบฅเบฐเบเบปเบเบเบญเบเบฅเบฒเบง.
- sshd daemon, เบเปเบฒเบเบชเบฐเบเบฃเบดเบ, เบชเบฐเบเบฑเบเบเปเบฒเบชเบฒเบเบฒเบฅเบฐเบเบฐเบเบฒเบเบเบธเบเบฅเบฑเบเบชเบฐเบเบฐเบเบญเบเบเบนเปเปเบเปเปเบ Active Directory เปเบฅเบฐเบเบฐเบเบดเบเบฑเบเบเบฒเบเบญเบฐเบเบธเบเบฒเบเปเบเบเปเบเปเบเบฐเปเบ.
- daemon sssd เปเบเบตเปเบกเบเบฒเบเบเบงเบเบชเบญเบเบเบนเปเปเบเปเปเบเบเบญเบตเบเปเบชเปเบเบฒเบเปเบเบฑเบเบชเบฐเบกเบฒเบเบดเบเบเบธเปเบก. เปเบญเบปเบฒเปเบเปเบชเป! เบเปเบฒเบญเบฑเบเบเบตเปเบเปเปเปเบเปเบเบทเบเบเบฑเปเบเบเปเบฒ, เบเบนเปเปเบเปเปเบเปเบกเบเปเบเปเบเบฐเบกเบตเบเบฒเบเปเบเบปเปเบฒเปเบเบดเบเปเบฎเบ.
- เปเบกเบทเปเบญเบเปเบฒเบเบเบฐเบเบฒเบเบฒเบก sudo, daemon sssd เบเบปเปเบเบซเบฒ Active Directory เบชเปเบฒเบฅเบฑเบเบเบปเบเบเบฒเบ. เบเปเบฒเบกเบตเบเบฒเบฅเบฐเบเบปเบเบเบฒเบ, เบเบธเบเบฅเบฑเบเบชเบฐเบเบฐเบเบญเบเบเบนเปเปเบเปเปเบฅเบฐเบเบฒเบเปเบเบฑเบเบชเบฐเบกเบฒเบเบดเบเบเบธเปเบกเบเบทเบเบเบงเบเบชเบญเบ (เบเปเบฒ sudoRoles เบเบทเบเบเบฑเปเบเบเปเบฒเปเบซเปเปเบเปเบเบธเปเบกเบเบนเปเปเบเป)
เบเบปเบเปเบเปเบฎเบฑเบ.
เบเบฑเปเบเบเบฑเปเบ, เบฅเบฐเบซเบฑเบเบเบทเบเปเบเบฑเบเปเบงเปเปเบเบเบธเบเบฅเบฑเบเบชเบฐเบเบฐเบเบญเบเบเบนเปเปเบเป Active Directory, เบเบฒเบเบญเบฐเบเบธเบเบฒเบ sudo - เปเบเบฑเปเบเบเบฝเบงเบเบฑเบ, เบเบฒเบเปเบเบปเปเบฒเปเบเบดเบ Linux hosts เปเบเบเบเบฑเบเบเบตเปเบเปเบกเบเปเบกเปเบเบเปเบฒเปเบเบตเบเบเบฒเบเปเบเบเบเบฒเบเบเบงเบเบชเบญเบเบชเบฐเบกเบฒเบเบดเบเปเบเบเบธเปเบก Active Directory.
เบเบทเปเบเบชเบธเบเบเปเบฒเบเบเบญเบ baton เบเบญเบ conductor - เปเบฅเบฐเบซเปเบญเบเปเบเบ freezes เปเบ silence reverent.
เบเบฑเบเบเบฐเบเบฒเบเบญเบเบเบตเปเปเบเปเปเบเบเบฒเบเบเบฝเบ:
เปเบซเบผเปเบเบเปเปเบกเบนเบ: www.habr.com