Forum Linux.général LDAP, sshd & public key

Posté par (page perso) .
Tags : aucun
0
31
mar.
2010
Bonjour,

J'ai installé un serveur LDAP dans mon réseau, un Centos-DS (un clone de Fedora-DS et RedHat-DS).

J'ai une machine sous CentOS 5.2 egalement, et je souhaite pouvoir configurer l'authentification des utilisateurs de cette machine avec LDAP, de sorte que chaque utilisateur puisse se connecter avec son login et mot de passe du LDAP.
J'ai donc installer pam_ldap, et j'ai reussi a tout configurer et j'ai fais quelques tests ; cela marche bien.

J'ai ensuite enregisté une clef public dans le authorized_keys d'un user dans sa conf SSH. La connexion marche bien. J'ai voulu ensuite testé ce qu'il se passe quand je desactive cet utilisateur dans le LDAP, et j'ai remarqué que l'utilisateur peut toujours se connecter (grace a sa clef).

Apres plusieurs tests, j'ai l'impression que SSH outre-passe PAM quand un utilisateur se connecte avec une clef privée.

Quelqu'un pourrait m'infirmer ou me confirmer se comportement ? Avez vous une idée pour une solution ?

Merci d'avance :)
  • # Comment fais-tu pour invalider le compte ?

    Posté par (page perso) . Évalué à 1.

    Plus efficace en mettant le shell a /bin/false par exemple.

    Système - Réseau - Sécurité Open Source

  • # LDAP, sshd & public key

    Posté par . Évalué à 1.

    Les authentifications SSH se font respectivement dans l'ordre suivant:
    public-key; par clef publique
    keyboard-interactive: différents types d'authentifications (autre que /etc/password, /etc/shadow) comme ton cas avec LDAP
    password authentication: authentification en utilisant /etc/password et /etc/shadow

    Donc dans ton cas normal, l'ordre est respecté.

    Si tu veux empêcher l'authentification par clef publique il te faut le préciser dans le fichier ${HOME}/.ssh/config de ton utilisateur
    Host *
    PubkeyAuthentication no

    Une autre solution est de connecter l'authentification par clefs à ton LDAP (en gros les clefs publiques sont stockées dans ton arbre LDAP au lieu du fichier authorized_keys). A voir si la version actuelle de SSH l'a implémentée ou s'il faut toujours passer par un patch.
    • [^] # Re: LDAP, sshd & public key

      Posté par (page perso) . Évalué à 1.

      J'ai vu qu'il y avait un patch, mais je n'aime pas casser la dependances des paquets dans les distros :/ Je vais essayer cela !

      Merci pour ta confirmation en tout cas :)

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.