Создание домашней директории ДО первого логина пользователя по LDAP

0

1

Нужна помощь зала. Пришел тут начальник и сказал что все пользователи должны заходить на сервера по ключам SSH и вход по паролю мы полностью убираем. А у нас LDAP и домашняя директория создается при первом заходе на сервер. Теперь надо создавать директорию при создании пользователя и складывать ключ в authorized_keys. Ну добавить .ssh и .ssh/authorized_keys в /etc/skel/ проблем не составило, но вот как добиться создания домашней директории при добавлении пользователя в LDAP я пока придумать не смог. Не, можно конечно home через скрипт создавать, но может есть какое-то универсальное решение по типу pam_oddjob_mkhomedir для /etc/pam.d/password-auth?

←	миднайт командер не отображается при подключении по ssh к серверу

Долгий запуск ubuntu

→

Нужно продолжать использовать LDAP, наколхозив AuthorizedKeysCommand, выгребающую ключ из каталога.

thesis ★★★★★
(10.01.23 17:11:27 MSK)

как добиться создания домашней директории при добавлении пользователя в LDAP

никак. создание пользователя в ЛДАП может быть с одного сервера, а его (пользователя) логин на другом сервере.

юзай ansible который и в ЛДАП запись сделает и на нужных серверах homedir

futurama ★★★★★
(10.01.23 18:13:57 MSK)

Может это сгодится. Не тестировал, просто первый ответ от гугла на «openldap openssh schema»
https://github.com/AndriiGrytsenko/openssh-ldap-publickey/

Atlant ★★★★★
(10.01.23 18:19:00 MSK)

Ответ на: комментарий от thesis 10.01.23 17:11:27 MSK

Нужно продолжать использовать LDAP, наколхозив AuthorizedKeysCommand, выгребающую ключ из каталога.

Ок, выглядит как решение. Пока только не очень понятно будет ли SSH демон смотреть в уже существующие authorized_keys или принимать только ключи из каталога. Спасибо в любом случае.

mathieu
(10.01.23 18:39:08 MSK) автор топика

Ответ на: комментарий от futurama 10.01.23 18:13:57 MSK

юзай ansible который и в ЛДАП запись сделает и на нужных серверах homedir

За ansible у нас стреляют в упор

mathieu
(10.01.23 18:42:40 MSK) автор топика

Ответ на: комментарий от mathieu 10.01.23 18:42:40 MSK

Обоснуй, обоснуй?

futurama ★★★★★
(10.01.23 18:44:25 MSK)

Ответ на: комментарий от futurama 10.01.23 18:44:25 MSK

мракобесы потомучто ну и в добавок ansible интегратором не предлагался, а значит в организации не сертифицирован и ненужен.

mathieu
(10.01.23 18:51:00 MSK) автор топика

Ответ на: комментарий от mathieu 10.01.23 18:51:00 MSK

СМК, регламенты, ISO?))

mrjaggers
(10.01.23 18:53:56 MSK)

Ответ на: комментарий от mrjaggers 10.01.23 18:53:56 MSK

СМК, регламенты, ISO?))

Не, не настолько все плохо, но пока мы сидим на гарантии интегратора, то обязаны пользоваться его решениями и гайдами, где ldap и openssh есть, а вот ansible нету.

mathieu
(10.01.23 19:03:30 MSK) автор топика

Ответ на: комментарий от mathieu 10.01.23 19:03:30 MSK

ну это уже неплохо. что эти есть.

mrjaggers
(10.01.23 19:04:40 MSK)

Варианты:

Хранить ключи в LDAP
Все хомяки подвинуть на NFS. При логине автоматически монтировать хомяк через autofs. В качестве бонуса пользователь получает один и тот же хомяк на всех серверах.
Поднять Kerberos. Пусть логинятся по Kerberos-тикету. Почти то же самое, что ключ.

bigbit ★★★★★
(10.01.23 19:44:58 MSK)
Последнее исправление: bigbit 10.01.23 19:45:58 MSK (всего исправлений: 2)

Ответ на: комментарий от mathieu 10.01.23 18:39:08 MSK

Пока только не очень понятно будет ли SSH демон смотреть в уже существующие authorized_keys

Ну вроде man прямо говорит, что будет, поэтому стоит выкинуть AuthorizedKeysFile вообще - нечего им локально валяться.

thesis ★★★★★
(10.01.23 20:02:13 MSK)
Последнее исправление: thesis 10.01.23 20:03:12 MSK (всего исправлений: 1)

Ответ на: комментарий от bigbit 10.01.23 19:44:58 MSK

Ключи не обязательно должны лежать в хомяке. Ты сам в sshd_config указываешь, где их искать. В одном месте, где я когда-то работал, ключи лежали в /SSH_keys/$USER/authorized_keys. Специально, чтобы пользователь не мог их поменять.

bigbit ★★★★★
(10.01.23 21:24:06 MSK)
Последнее исправление: bigbit 10.01.23 21:24:25 MSK (всего исправлений: 1)

Ответ на: комментарий от bigbit 10.01.23 21:24:06 MSK

Ключи не обязательно должны лежать в хомяке. Ты сам в sshd_config указываешь, где их искать. В одном месте, где я когда-то работал, ключи лежали в /SSH_keys/$USER/authorized_keys. Специально, чтобы пользователь не мог их поменять.

Кстати тоже вариант интересный, совсем без скриптоты при создании пользователей не получится, но тут вроде совсем без фанатизма. Спасибо!

mathieu
(11.01.23 00:18:00 MSK) автор топика

Ключ может хранится в ldap и братья оттуда.

einhander ★★★★★
(11.01.23 00:19:39 MSK)

Ответ на: комментарий от mathieu 11.01.23 00:18:00 MSK

Кстати тоже вариант интересный

Ползать по серверам при каждой потребности обновить/удалить васин ключ - так себе интерес.

thesis ★★★★★
(11.01.23 14:08:34 MSK)

Ответ на: комментарий от thesis 11.01.23 14:08:34 MSK

Ползать по серверам при каждой потребности обновить/удалить васин ключ - так себе интерес.

Нене, для нашего конкретного случая это в чем-то получше чем хранение ключа в лдапе.

mathieu
(11.01.23 17:11:26 MSK) автор топика

Посмотри в сторону ssh сертификатов.

Там не надо класть ничего в ~/.ssh

~~AVL2~~ ★★★★★
(14.01.23 00:40:57 MSK)

←	миднайт командер не отображается при подключении по ssh к серверу

Admin

Долгий запуск ubuntu

→

Похожие темы