到目前为止,我们在所有服务器(Debian 10 到 12)上使用 OpenSSH GSSAPI 身份验证。然后我们 sudo -i,使用 ldap 身份验证(通过 sssd-ldap)。
我想摆脱 ldap 身份验证并仅依赖 GSSAPI,对于 OpenSSH 和 Sudo 都是如此。这个想法是将票证服务转发到 Openssh (host/fqdn),将其保存在凭证缓存中(通常是 /tmp/krb5...)并保留 TGS 来验证 sudo (我发现 pam_sss_gss.so 可以验证 sudo与 GSSAPI)。
问题是...OpenSSH 一旦验证了票证服务就会破坏它。
这是我的问题:
- 有没有办法将票证服务转发到凭证缓存内的 openssh ?它将帮助我之后验证 sudo 。
- 如果 1 不可能(我猜确实不可能),那么在我们所有服务器上转发 TGT 是否存在任何安全问题?(TGT 寿命为 4 小时)。我必须在服务器和防火墙上的 KDC 端口 88 之间打开一个流。
- 我宁愿避免在 sudoers 中使用 NOPASSWD,但如果 sudo 组的成员通过 kerberos 进行身份验证,那么将 NOPASSWD 放入该组的 sudoers 中是否存在任何安全问题?
- 让我知道您是否有其他想法,我将非常感激。
谢谢。