Различия

Показаны различия между двумя версиями страницы.

--- unix-linux:debian:bookworm:join-debian-linux-12-bookworm-to-active-directory-domain-with-sssd-realmd-with-ad-security-group-authorization-in-pam-for-console-login-and-ssh-sso-putty-kerberos-auth [03.08.2023 12:12] – Алексей Максимов
+++ unix-linux:debian:bookworm:join-debian-linux-12-bookworm-to-active-directory-domain-with-sssd-realmd-with-ad-security-group-authorization-in-pam-for-console-login-and-ssh-sso-putty-kerberos-auth [24.07.2024 17:06] (текущий) – Алексей Максимов
@@ Строка 137: / Строка 137: @@
 config_file_version = 2
 #services = nss, pam
+implicit_pac_responder = false
 default_domain_suffix = sub.holding.com
@@ Строка 255: / Строка 256: @@
 <HTML><pre style="background:#5a5a62;color:#ffffff;padding:10px;border:0px;"># journalctl -f -u ssh.service</pre></HTML>
+\\
+==== PAM и комбинирование доступа для групп и пользователей =====
+В двух выше обозначенных примерах мы используем файл ''/etc/security/access-groups-to-login'' для настройки доступа к консоли сервера и службе SSHD. Предполагется, что в этот файл должны вписываться только названия групп доступа (локальных или доменных). Но в некоторых ситуациях может потребоваться настройка дополнительного доступа для отдельно взятой учётной записи пользователя (локальной или доменной). В этом случае мы можем комбинировать правила PAM. На примере **PAM**-модуля, отвечающего за настройку авторизации при подключении через службу сервера **sshd** (''/etc/pam.d/sshd''), ранее рассмотренную строку проверки доступа по файлу с группами дополним строкой предварительной проверки доступа по дополнительному файлу с логинами:
+<file bash sshd>...
+# Restricted access to service from local and domain groups
+account sufficient pam_listfile.so onerr=fail item=user sense=allow file=/etc/security/access-users-to-login
+account required pam_listfile.so onerr=fail item=group sense=allow file=/etc/security/access-groups-to-login
+...</file>
+Файл ''/etc/security/access-users-to-login'' в этом случае должен иметь формат, аналогичный ранее упомянутому файлу ''access-groups-to-login'':
+<file text access-users-to-login>petya
+vasya@sub.holding.com</file>
+И не забываем про ограничение доступа к файлу:
+<HTML><pre style="background:#5a5a62;color:#ffffff;padding:10px;border:0px;"># chown root:root /etc/security/access-users-to-login
+# chmod 600 /etc/security/access-users-to-login</pre></HTML>
@@ Строка 301: / Строка 323: @@
 <HTML><pre style="background:#5a5a62;color:#ffffff;padding:10px;border:0px;"># chmod 0440 /etc/sudoers.d/kom-srv-linux-admins</pre></HTML>
+В некоторых ситуациях при вызове **sudo** в контексте доменного пользователя может возникать длительная задержка при первом запросе на ввод пароля. В этом случае можно попробовать воспользоваться включением опции [[https://blog.it-kb.ru/2024/03/14/sudo-is-slow-when-using-sssd|ignore_group_members]] в секции описания домена в конфигурационном файле ''sssd.conf''
 \\