テスト目的で非常に小さな仮想マシンを設定し、vsftpを設定したCentOS 1708を実行しました。使った
https://www.rootusers.com/how-to-join-centos-linux-to-an-active-directory-domain/
オペレーティングシステムの部分に対してAD認証を設定しますが、ADユーザーがFTPクライアントを介してログインできないようにします。
主にインターネットではなく内部SSHを介したAD認証が必要であり、FTPログインには純粋にローカルユーザーを介して認証する必要があります。
ユーザーがsshを介してVMにログインしていない場合は、ホームディレクトリを作成できないため、AD資格情報を使用してftpポート21を介してログインできないことを確認しました。
それは大丈夫だと思いますが、ADを介したAD認証を完全にブロックし、SSHまたは端末を介してのみ許可する方法を探しています。
FTPによるAD認証は不要です。これにより、ADユーザーが「ハッキング」したり、インターネットをブロックしたりする危険があります。
これを達成する方法に関する提案はありますか?
答え1
vsFTPd認証に関連するPAMモジュールは/etc/pam.d/vsftpd。デフォルトでは1行あります。
auth include password-auth
パスワードベースの認証には、システム全体のデフォルトPAM設定を使用します(で指定)/etc/pam.d/password-auth。 AD認証を設定するときは、通常、関連するPAMモジュールを/etc/pam.d/password-auth。
vsFTPd で AD 認証をまったく使用したくない場合は、/etc/pam.d/vsftpdファイルを編集します。この行をコメントアウトしてください。
auth include password-auth
コメントアウトされた行の後に、password-authAD認証が構成されていないシステムに存在するかのように、ファイルに関連する行を作成します。
auth required pam_env.so
auth required pam_faildelay.so delay=2000000
auth sufficient pam_unix.so nullok try_first_pass
auth requisite pam_succeed_if.so uid >= 1000 quiet_success
auth required pam_deny.so
このように、AD認証プロバイダモジュールはvsFTPd認証に参加するのを完全にブロックするため、vsFTPdの認証プロセスはシステムにAD統合がまったくないようです。
答え2
SSSD ADプロバイダーは、アクセス制御のためのGPOポリシー評価を許可し、Windowsログイン権限をLinux PAMサービスに転送します。このパスに移動することをお勧めします。ちなみに、私はまた、ブラックリストにサービスを追加するのではなく、Linuxホストで他の方法で許可したいサービスだけをホワイトリストに追加することをお勧めします。 sssd-ad のマニュアルページには、ログイン権限を PAM サービスにマッピングする例がいくつかあります。