Ping uma porta específica

Question

c4urself

Asked: 2014-12-20 12:13:09 +0800 CST2014-12-20 12:13:09 +0800 CST 2014-12-20 12:13:09 +0800 CST

Autenticação de chave SSH usando LDAP

772

Resumidamente:

Gostaria de uma forma de fazer autenticação de chave SSH via LDAP.

Problema:

Usamos LDAP (slapd) para serviços de diretório e recentemente passamos a usar nossa própria AMI para criar instâncias. A razão pela qual o bit AMI é importante é que, idealmente , gostaríamos de poder fazer login com SSH por meio de autenticação de chave assim que a instância estiver em execução e não ter que esperar que nossa ferramenta de gerenciamento de configuração um tanto lenta inicie um script para adicionar as chaves corretas para a instância.

O cenário ideal é que, ao adicionar um usuário ao LDAP, adicionemos também sua chave e eles possam fazer login imediatamente.

A autenticação de chave é obrigatória porque o login baseado em senha é menos seguro e incômodo.

Eu li esta pergunta que sugere que há um patch para OpenSSH chamado OpenSSH-lpk para fazer isso, mas isso não é mais necessário com o servidor OpenSSH >= 6.2

Adicionada uma opção sshd_config(5) AuthorizedKeysCommand para suportar a busca de author_keys de um comando além de (ou em vez de) do sistema de arquivos. O comando é executado em uma conta especificada por uma opção AuthorizedKeysCommandUser sshd_config(5)

Como posso configurar OpenSSH e LDAP para implementar isso?

4 respostas

Voted

c4urself · Answer 1 · 2014-12-20T12:13:09+08:00

Atualize o LDAP para incluir o esquema OpenSSH-LPK

Primeiro precisamos atualizar o LDAP com um esquema para adicionar o sshPublicKeyatributo para usuários:

dn: cn=openssh-lpk,cn=schema,cn=config
objectClass: olcSchemaConfig
cn: openssh-lpk
olcAttributeTypes: ( 1.3.6.1.4.1.24552.500.1.1.1.13 NAME 'sshPublicKey'
    DESC 'MANDATORY: OpenSSH Public key'
    EQUALITY octetStringMatch
    SYNTAX 1.3.6.1.4.1.1466.115.121.1.40 )
olcObjectClasses: ( 1.3.6.1.4.1.24552.500.1.1.2.0 NAME 'ldapPublicKey' SUP top AUXILIARY
    DESC 'MANDATORY: OpenSSH LPK objectclass'
    MAY ( sshPublicKey $ uid )
    )

Crie um script que consulte o LDAP em busca da chave pública de um usuário:

O script deve gerar as chaves públicas para esse usuário, exemplo:

ldapsearch '(&(objectClass=posixAccount)(uid='"$1"'))' 'sshPublicKey' | sed -n '/^ /{H;d};/sshPublicKey:/x;$g;s/\n *//g;s/sshPublicKey: //gp'

Atualize `sshd_config`para apontar para o script da etapa anterior

AuthorizedKeysCommand /path/to/script
AuthorizedKeysCommandUser nobody

Bônus : atualização sshd_configpara permitir a autenticação de senha de redes RFC1918 internas, conforme visto nesta pergunta:

Permitir apenas a autenticação de senha para o servidor SSH da rede interna

Links Úteis:

EDIT: Adicionado usuário nobodycomo sugerido TRS-80

mbrgm · Answer 2 · 2016-11-16T02:39:55+08:00

Esta não é uma resposta completa, apenas uma adição à resposta de c4urself . Eu teria adicionado isso como um comentário, mas não tenho reputação suficiente para comentar, então, por favor, não rejeite!

Este é o script que estou usando para AuthorizedKeysCommand(baseado na versão do c4urself). Ele funciona independentemente de o valor ser retornado na codificação base64 ou não. Isso pode ser especialmente útil se você quiser armazenar várias chaves autorizadas no LDAP -- simplesmente separe as chaves com caracteres de nova linha, semelhante ao arquivo author_keys.

#!/bin/bash
set -eou pipefail
IFS=$'\n\t'

result=$(ldapsearch '(&(objectClass=posixAccount)(uid='"$1"'))' 'sshPublicKey')
attrLine=$(echo "$result" | sed -n '/^ /{H;d};/sshPublicKey:/x;$g;s/\n *//g;/sshPublicKey:/p')

if [[ "$attrLine" == sshPublicKey::* ]]; then
  echo "$attrLine" | sed 's/sshPublicKey:: //' | base64 -d
elif [[ "$attrLine" == sshPublicKey:* ]]; then
  echo "$attrLine" | sed 's/sshPublicKey: //'
else
  exit 1
fi

Scott · Answer 3 · 2016-03-09T05:18:26+08:00

Scott

2016-03-09T05:18:26+08:002016-03-09T05:18:26+08:00

Para quem está recebendo o erro ao executar o ldapsearch:

sed: 1: "/^ /{H;d};": extra characters at the end of d command

como eu estava (no FreeBSD), a correção é alterar o primeiro comando sed para:

/^ /{H;d;};

(adicionando um ponto e vírgula após o 'd').

5

FreeSoftwareServers · Answer 4 · 2016-09-19T11:44:11+08:00

Só queria compartilhar meu "método", meu lado do cliente é específico do Debian/Ubuntu, mas meu lado do servidor é basicamente o mesmo que acima, mas com um pouco mais de "HowTo:"

Servidor :

Ativar atributo de chave pública:

Crédito:

https://blog.shichao.io/2015/04/17/setup_openldap_server_with_openssh_lpk_on_ubuntu.html

cat << EOL >~/openssh-lpk.ldif
dn: cn=openssh-lpk,cn=schema,cn=config
objectClass: olcSchemaConfig
cn: openssh-lpk
olcAttributeTypes: ( 1.3.6.1.4.1.24552.500.1.1.1.13 NAME 'sshPublicKey'
  DESC 'MANDATORY: OpenSSH Public key'
  EQUALITY octetStringMatch
  SYNTAX 1.3.6.1.4.1.1466.115.121.1.40 )
olcObjectClasses: ( 1.3.6.1.4.1.24552.500.1.1.2.0 NAME 'ldapPublicKey' SUP top AUXILIARY
  DESC 'MANDATORY: OpenSSH LPK objectclass'
  MAY ( sshPublicKey $ uid )
  )
EOL

Agora use isso para adicionar ldif:

ldapadd -Y EXTERNAL -H ldapi:/// -f ~/openssh-lpk.ldif

Adicionando um usuário com chave pública SSH no phpLDAPadmin

Primeiro, crie um usuário com o modelo “Generic: User Account”. Em seguida, vá para a seção do atributo “objectClass”, clique em “adicionar valor” e escolha o atributo “ldapPublicKey”. Depois de enviar, volte para a página de edição do usuário, clique em “Adicionar novo atributo” na parte superior e escolha “sshPublicKey”, cole a chave pública na área de texto e, finalmente, clique em “Atualizar objeto”.

Atributo sshPublicKey não exibido - OpenLDAP PHPLDAP SSH Key Auth

Cliente Ubuntu:

apt-get -y install python-pip python-ldap
pip install ssh-ldap-pubkey
sh -c 'echo "AuthorizedKeysCommand /usr/local/bin/ssh-ldap-pubkey-wrapper\nAuthorizedKeysCommandUser nobody" >> /etc/ssh/sshd_config' && service ssh restart

Criar chaves de teste:

ssh-keygen -t rsa