ユーザーを認証するためにPAMを介してLDAPを使用するようにいくつかのサーバーを構成しています。また、pam_groupを使用して、audio/video/vboxusers/...などの一部のシステムグループにすべてのユーザーを追加します。
私のPAM設定は、ほとんどのサービス(su、login、sudoの両方がpam_groupを考慮)で動作しますが、SSHでは機能しません。具体的には、公開鍵を使用して認証すると /etc/security/group.conf にグループが追加されませんが、パスワードを使用して認証するとグループが追加されます。
周りを見回すと、SSH公開鍵認証がPAMスタックをバイパスし、ユーザーの資格情報自体を設定するため、pam_groupなどのPAM関連の構成を無視することがわかりました。奇妙なことに、LDAPグループ(通常pam_ldapによって設定されます)は、パスワードの有無にかかわらず、すべての場合に設定されます。
ユーザーが認証方法に関係なく、常に同じグループのメンバーになるようにユーザーエクスペリエンスをできるだけ予測可能にしたいと思います。 pubkey認証を使用するときに/etc/security/group.confにグループを追加するようにSSHを設定する方法はありますか?
よろしくお願いします。
答え1
おそらくそうではありません。
これマニュアルページpam_group
説明する:
ただ承認するモジュールタイプが提供されます。
SSH は公開鍵を使用する際に認証に PAM を使用しないため、auth
これらのモジュールは使用されません。
についてはなぜ pam_group
auth
モジュールではなくモジュールとしてのみ機能するとは言えsession
ません。