Active Directoryに対して認証されたLinuxサーバーは、パスワードのないログイン用の公開/秘密鍵を許可できますか?

Active Directoryに対して認証されたLinuxサーバーは、パスワードのないログイン用の公開/秘密鍵を許可できますか?

Active Directoryに対してユーザーを認証するLinuxサーバーがあります。対話型ログインにはユーザー名とパスワードが必要で、自動ログインにはパスワードなしの認証にはKeytab(Kerberos)が必要です。

しかし、私は読んだ。NIST赤外線7966keytab認証は、公開/秘密鍵ペア認証ほど安全ではありません。これは、コマンドの実行へのアクセスを制限し、ユーザーが認証できるシステムをより効果的に制御できるためです。

したがって、公開/秘密鍵のペアを使用してLinuxサーバー上のActive Directoryへの認証を進めたいと思います。可能ですか?

答え1

はい、sshdオプションを使用してkerberos認証と公開鍵認証の両方を要求できます AuthenticationMethods

人5 sshd_config:

認証方法

ユーザーアクセスを許可するために正常に完了する必要がある認証方法を指定します。このオプションの後には、1つ以上のカンマで区切られた認証方法の名前のリストが続きます。認証に成功するには、このリストにある各方法の1つ以上を完了する必要があります。 [...]プロトコル1も有効になっている場合、このオプションは致命的なエラーを生成します。リストされている各認証方法も設定で明示的に有効にする必要があります。

そのため、sshd_config に以下を作成する必要があります。

Protocol 2
GSSAPIAuthentication yes
PubkeyAuthentication yes 

AuthenticationMethods gssapi-with-mic, publickey

関連情報