Gostaria de habilitar o seguinte: Instâncias ec2 do Linux na AWS que executam autenticação LDAP de usuários que não possuem diretório inicial atualmente na caixa. Eu tenho um openLDAP funcionando na AWS para a tarefa
Uma vez autenticado pelo LDAP:
- O diretório inicial do usuário será criado
- A chave ssh pública do usuário é recuperada de seu
sshPublicKeyatributo no LDAP e eles só podem fazer logon se o sshPrivateKey local corresponder
Eu sei como fazer autenticação LDAP OU recuperação de chave pública por meio de um ldapsearch, mas quero fazer as duas coisas.
O cenário que estou tentando mitigar é quando um funcionário sai da empresa: posso simplesmente desabilitar sua conta no openLDAP e mesmo que sua chave pública exista nas máquinas, eles não poderão usá-los porque também falharão na autenticação ldap .
Procurei no StackExchanges e acho que não encontrei o que estava procurando. O mais perto que cheguei é
https://serverfault.com/questions/653792/ssh-key-authentication-using-ldap
https://serverfault.com/questions/579341/combination-of-ssh-key-auth-and-two-factor-authentication