我已经向 AD 人员请求了一个服务帐户,它可以让我使用特定的服务器作为 SSH 跳转主机(使用 ProxyJump),当然我已经为此设置了一个 SSH 私钥。jumphost 本身正在运行 SSSD 以针对 AD 对用户进行身份验证。
但是,我被警告过,如果服务帐户上的 AD LastLoginTimeStamp 属性太旧,该帐户将被清除。所以问题是,无论 SSSD 代表 SSHD 为仅隧道登录(无用户命令)激活的 pam 模块所做的任何事情都会实际更新该时间戳吗?使用 LDAP 查找用户的组可能是不够的,但什么是?我可以在 Linux 端进行研究以查看 SSSD 的作用,但我无法轻松访问 AD 端以检查时间戳是否更新。