SSH公開鍵認証でpam_groupを使用できますか?

SSH公開鍵認証でpam_groupを使用できますか?

ユーザーを認証するためにPAMを介してLDAPを使用するようにいくつかのサーバーを構成しています。また、pam_groupを使用して、audio/video/vboxusers/...などの一部のシステムグループにすべてのユーザーを追加します。

私のPAM設定は、ほとんどのサービス(su、login、sudoの両方がpam_groupを考慮)で動作しますが、SSHでは機能しません。具体的には、公開鍵を使用して認証すると /etc/security/group.conf にグループが追加されませんが、パスワードを使用して認証するとグループが追加されます。

周りを見回すと、SSH公開鍵認証がPAMスタックをバイパスし、ユーザーの資格情報自体を設定するため、pam_groupなどのPAM関連の構成を無視することがわかりました。奇妙なことに、LDAPグループ(通常pam_ldapによって設定されます)は、パスワードの有無にかかわらず、すべての場合に設定されます。

ユーザーが認証方法に関係なく、常に同じグループのメンバーになるようにユーザーエクスペリエンスをできるだけ予測可能にしたいと思います。 pubkey認証を使用するときに/etc/security/group.confにグループを追加するようにSSHを設定する方法はありますか?

よろしくお願いします。

答え1

おそらくそうではありません。

これマニュアルページpam_group説明する:

ただ承認するモジュールタイプが提供されます。

SSH は公開鍵を使用する際に認証に PAM を使用しないため、authこれらのモジュールは使用されません。

についてはなぜ pam_groupauthモジュールではなくモジュールとしてのみ機能するとは言えsessionません。

関連情報