我已经向 AD 人员请求了一个服务帐户,它可以让我使用特定的服务器作为 SSH 跳转主机(使用 ProxyJump),当然我已经为此设置了一个 SSH 私钥。jumphost 本身正在运行 SSSD 以针对 AD 对用户进行身份验证。
但是,我被警告过,如果服务帐户上的 AD LastLoginTimeStamp 属性太旧,该帐户将被清除。所以问题是,无论 SSSD 代表 SSHD 为仅隧道登录(无用户命令)激活的 pam 模块所做的任何事情都会实际更新该时间戳吗?使用 LDAP 查找用户的组可能是不够的,但什么是?我可以在 Linux 端进行研究以查看 SSSD 的作用,但我无法轻松访问 AD 端以检查时间戳是否更新。
理论上,AD 属性lastLogonTimestamp在以下情况之一之后更新:
所以这将取决于服务使用的机制(对不起,我没有使用 JumpHost 或 SSSD 的经验)。
以我个人的经验,一些通过 LDAP 与 AD 集成的服务成功地使用了他们的服务帐户,但属性值没有更新。我没有机会弄清楚为什么会发生这种情况,但由于每项服务都是不同的故事,我认为唯一安全的选择是亲自尝试看看。该属性应在首次登录时立即更新。之后,该值最多可以延迟 14 天。
请查看属性技术规格以获取更多信息。
在故障排除时要确保的几件事:
希望这可以帮助