En bref:
Voudrait un moyen de faire l'authentification de clé SSH via LDAP.
Problème:
Nous utilisons LDAP (slapd) pour les services d'annuaire et nous sommes récemment passés à utiliser notre propre AMI pour la création d'instances. La raison pour laquelle le bit AMI est important est que, dans l' idéal , nous aimerions pouvoir nous connecter avec SSH via l'authentification de clé dès que l'instance est en cours d'exécution et ne pas avoir à attendre que notre outil de gestion de la configuration, un peu lent, lance un script à ajouter. les clés correctes à l'instance.
Le scénario idéal est que, lors de l'ajout d'un utilisateur à LDAP, nous ajoutions également sa clé et qu'il puisse immédiatement se connecter.
L'authentification par clé est indispensable car la connexion par mot de passe est à la fois moins sécurisée et gênante.
J'ai lu cette question qui suggère qu'il existe un correctif pour OpenSSH appelé OpenSSH-lpk pour le faire, mais que ce n'est plus nécessaire avec le serveur OpenSSH> = 6.2
Ajout d'une option sshd_config (5) AuthorizedKeysCommand pour prendre en charge la récupération de allowed_keys à partir d'une commande en plus (ou au lieu de) du système de fichiers. La commande est exécutée sous un compte spécifié par une option AuthorizedKeysCommandUser sshd_config (5).
Comment configurer OpenSSH et LDAP pour implémenter cela?
AuthorizedKeysCommandUser nobody
au lieu de root.