Вопрос: Аутентификация ключа SSH с использованием LDAP


Вкратце:

Хотелось бы использовать аутентификацию ключа SSH через LDAP.

Проблема:

Мы используем LDAP (slapd) для служб каталогов, и недавно мы перешли к использованию нашего собственного AMI для создания экземпляров. Причина, по которой бит AMI важен, заключается в том, Идеально, мы хотели бы иметь возможность входа в систему через SSH с помощью проверки подлинности ключей, как только экземпляр будет запущен, и не придется ждать, пока наш несколько медленный инструмент управления конфигурацией запустит скрипт, чтобы добавить правильные ключи к экземпляру.

Идеальный сценарий заключается в том, что при добавлении пользователя в LDAP мы также добавляем свой ключ, и они сразу смогут войти в систему.

Проверка подлинности ключа должен потому что пароль на основе входа является менее безопасным и докучливым.

я прочел этот вопрос который предполагает, что для OpenSSH называется OpenSSH, называемый OpenSSH-lpk, но это больше не нужно с сервером OpenSSH> = 6.2

Добавлен параметр sshd_config (5) AuthorizedKeysCommand для      поддержка выборки authorized_keys из команды в дополнение к (или      вместо) из файловой системы. Команда запускается под учетной записью      заданный параметром sshd_config (5) AuthorizedKeysCommandUser

Как настроить OpenSSH и LDAP для реализации этого?


49
2017-12-19 20:13


Источник




Ответы:


Обновите LDAP, чтобы включить схему OpenSSH-LPK

Сначала нам нужно обновить LDAP с помощью схемы, чтобы добавить sshPublicKey атрибут для пользователей:

dn: cn=openssh-lpk,cn=schema,cn=config
objectClass: olcSchemaConfig
cn: openssh-lpk
olcAttributeTypes: ( 1.3.6.1.4.1.24552.500.1.1.1.13 NAME 'sshPublicKey'
    DESC 'MANDATORY: OpenSSH Public key'
    EQUALITY octetStringMatch
    SYNTAX 1.3.6.1.4.1.1466.115.121.1.40 )
olcObjectClasses: ( 1.3.6.1.4.1.24552.500.1.1.2.0 NAME 'ldapPublicKey' SUP top AUXILIARY
    DESC 'MANDATORY: OpenSSH LPK objectclass'
    MAY ( sshPublicKey $ uid )
    )

Создайте скрипт, который запрашивает LDAP для открытого ключа пользователя:

Сценарий должен выводить открытые ключи для этого пользователя, например:

ldapsearch '(&(objectClass=posixAccount)(uid='"$1"'))' 'sshPublicKey' | sed -n '/^ /{H;d};/sshPublicKey:/x;$g;s/\n *//g;s/sshPublicKey: //gp'

Обновить sshd_config указать на сценарий с предыдущего шага

  • AuthorizedKeysCommand /path/to/script
  • AuthorizedKeysCommandUser nobody

бонус: Обновить sshd_config для обеспечения аутентификации паролем из внутренних сетей RFC1918, как показано в этом вопросе:

Разрешить авторизацию только на SSH-сервере с внутренней сети

Полезные ссылки:

EDIT: добавлен пользователь nobody как было предложено TRS-80


54
2017-12-19 20:13



Это фантастика, хотя я бы предложил AuthorizedKeysCommandUser nobody вместо корня. - TRS-80
Должно быть что-то другое в моем ldapsearch или sed, потому что вывод вывода на команду sed black magic у вас там не дает результата, хотя моя простая команда ldapsearch возвращает данные. Мне нужно написать сценарий для очистки вывода вместо использования sed. - Chris L
Не обращайте внимания на мой предыдущий комментарий. Моя проблема была вызвана наличием конечной новой строки в свойстве sshPublicKey, что, в свою очередь, заставляет ldapsearch base64 кодировать все это. Я упростил команду sed: ldapsearch -u -LLL -o ldif-wrap=no '(&(objectClass=posixAccount)(uid='"$1"'))' 'sshPublicKey' | sed -n 's/^[ \t]*sshPublicKey:[ \t]*\(.*\)/\1/p' - Chris L
@Chris на самом деле меньше черной магии, но sed по-прежнему представляет собой одноразовую хэш-функцию с однократной записью;) - Froyke
В моей версии OpenSSH (5.3p1-122.el6) есть AuthorizedKeysCommandRunAs и не AuthorizedKeysCommandUser - mveroone


Для тех, кто получает ошибку при запуске ldapsearch:

sed: 1: "/^ /{H;d};": extra characters at the end of d command

как я был (на FreeBSD), исправление заключается в изменении первой команды sed:

/^ /{H;d;};

(добавление точки с запятой после «d»).


5
2018-03-08 13:18





Просто хочу поделиться своим «методом», моя клиентская сторона - это Debian / Ubuntu Specific, но моя серверная сторона в основном такая же, как и выше, но с немного более «HowTo:»

Сервер:

Включить атрибут открытого ключа:

Кредит:

https://blog.shichao.io/2015/04/17/setup_openldap_server_with_openssh_lpk_on_ubuntu.html

cat << EOL >~/openssh-lpk.ldif
dn: cn=openssh-lpk,cn=schema,cn=config
objectClass: olcSchemaConfig
cn: openssh-lpk
olcAttributeTypes: ( 1.3.6.1.4.1.24552.500.1.1.1.13 NAME 'sshPublicKey'
  DESC 'MANDATORY: OpenSSH Public key'
  EQUALITY octetStringMatch
  SYNTAX 1.3.6.1.4.1.1466.115.121.1.40 )
olcObjectClasses: ( 1.3.6.1.4.1.24552.500.1.1.2.0 NAME 'ldapPublicKey' SUP top AUXILIARY
  DESC 'MANDATORY: OpenSSH LPK objectclass'
  MAY ( sshPublicKey $ uid )
  )
EOL

Теперь используйте это, чтобы добавить ldif:

ldapadd -Y EXTERNAL -H ldapi:/// -f ~/openssh-lpk.ldif

Добавление пользователя с открытым ключом SSH в phpLDAPadmin

Сначала создайте пользователя с шаблоном «Generic: User Account». Затем перейдите в раздел атрибута «objectClass», нажмите «Добавить значение» и выберите атрибут «ldapPublicKey». После отправки, вернитесь на страницу редактирования пользователя, нажмите «Добавить новый атрибут» в верхней части и выберите «sshPublicKey», вставьте открытый ключ в текстовую область и, наконец, нажмите «Обновить объект» ».

sshPublicKey Атрибут не отображается - OpenLDAP PHPLDAP SSH Key Auth

Клиент Ubuntu:

apt-get -y install python-pip python-ldap
pip install ssh-ldap-pubkey
sh -c 'echo "AuthorizedKeysCommand /usr/local/bin/ssh-ldap-pubkey-wrapper\nAuthorizedKeysCommandUser nobody" >> /etc/ssh/sshd_config' && service ssh restart

Создать тестовые ключи:

ssh-keygen -t rsa

4
2017-09-18 19:44





Это не полный ответ, просто добавление к Ответ c4urself, Я бы добавил это в качестве комментария, но у меня нет достаточной репутации, чтобы комментировать, поэтому, пожалуйста, не спускайте вниз!

Это сценарий, который я использую для AuthorizedKeysCommand (на основе версии c4urself). Он работает независимо от того, возвращается ли значение в кодировке base64 или нет. Это может быть особенно полезно, если вы хотите хранить несколько разрешенных ключей в LDAP - просто разделяйте ключи символами новой строки, аналогично файлу authorized_keys.

#!/bin/bash
set -eou pipefail
IFS=$'\n\t'

result=$(ldapsearch '(&(objectClass=posixAccount)(uid='"$1"'))' 'sshPublicKey')
attrLine=$(echo "$result" | sed -n '/^ /{H;d};/sshPublicKey:/x;$g;s/\n *//g;/sshPublicKey:/p')

if [[ "$attrLine" == sshPublicKey::* ]]; then
  echo "$attrLine" | sed 's/sshPublicKey:: //' | base64 -d
elif [[ "$attrLine" == sshPublicKey:* ]]; then
  echo "$attrLine" | sed 's/sshPublicKey: //'
else
  exit 1
fi

2
2017-11-15 10:39