Настройки аутентификации\авторизации через радиус сервер без локальной учетки.

debian, nfs, nss, radius, настройка сервера

1

1

День добрый. Помогите разобраться в задаче и выработать решение.

Задача:

Есть некий компьютер на debian6 на нем нужно авторизоваться по SSH таким образом, чтобы локально не создавалось никаких записей(не создавался ни пользователь, ни каталог, ни строчка в passwd). В качестве Radiusa - сервер FreeRadius 3.0.18,пока планируется хранить учетные запись локально на Freeradius в текстовом файле. При необходимости подниму сервер с NFS или NSS. Как вариант рассмотрю предложение с использованием LDAP.

На текущий момент настроена авторизация через радиус сервер с использованием PAM (libpam-radius-auth_1.3.16-4.4_i386.deb, libpam-script_1.1.5-1_i386.deb). Но при этом создаётся пользователь локально.

Очень нужно разобраться!!! Великих «спецов» не аргументировано кричащим, что так сделать «низзя» прошу проходить мимо. Но готов выслушать развернутый ответ в каких местах это нереализуемо.

Ссылка

←	Настройки аутентификации\авторизации через радиус сервер без локальной учетки.

Монтирование каталогов

→

ты же понимаешь, что ssh сессия все равно будет от лица какого-то системного пользователя?

Anoxemian ★★★★★
(06.03.19 12:02:43 MSK)

Ответ на: комментарий от Anoxemian 06.03.19 12:02:43 MSK

Да, но как сделать чтобы этот пользователь не оставлял следов в системе, а хранился например в базе LDAP или SQL. главное не локально

rekgul
(06.03.19 12:11:36 MSK) автор топика

Ответ на: комментарий от rekgul 06.03.19 12:11:36 MSK

значит, не понимаешь. наводящий вопрос: от имени какого пользователя будет работать шелл?

Anoxemian ★★★★★
(06.03.19 12:14:34 MSK)
Последнее исправление: Anoxemian 06.03.19 12:14:48 MSK (всего исправлений: 1)

пользователь либо есть, либо нет. А какой бекенд и механизм авторизации, дело второе. Если он авторизовался, он есть. Для работы ему созается окружение и временные файлы. можно их создавать хоть на tmpfs и удалять после завершения сессии.

NFS, NSS, LDAP - все смешалось в доме облонских - учи уроки.

anonymous
(06.03.19 12:16:38 MSK)

Но при этом создаётся пользователь локально.

Что для Вас является признаком создания локального пользователя? Записи в /etc/passwd и /etc/shadow? Или создание домашнего каталога, например, тоже является признаком? А как быть с файлами, созданными такими пользователями? Они (файлы) будут иметь цифровые uuid и guid - это считается признаком наличия локального пользователя?

Serge10 ★★★★★
(06.03.19 12:48:07 MSK)

Ссылка

Ответ на: комментарий от Anoxemian 06.03.19 12:14:34 MSK

то как я это представляю: после ввода логина пароля, к системе монтируется раздел например по NFS, там создается рабочий каталог пользователя, после этого идет обращение на радиус, который разрешает\запрещает вход. После закрытия сессии отрабатывает скрипт который чистит следы пребывания в системе(например passwd)

rekgul
(06.03.19 13:36:14 MSK) автор топика

Ссылка

Ответ на: комментарий от anonymous 06.03.19 12:16:38 MSK

не могли бы поподробнее рассказать про вторую часть вашего высказывания:

«Для работы ему созается окружение и временные файлы. можно их создавать хоть на tmpfs и удалять после завершения сессии.»

как создать пользователя «на tmpf и удалять после завершения сессии.»

rekgul
(06.03.19 13:40:26 MSK) автор топика

Ответ на: комментарий от rekgul 06.03.19 13:40:26 MSK

Ps Локально существует root и ряд системных пользователей

rekgul
(06.03.19 13:42:21 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Настройки аутентификации\авторизации через радиус сервер без локальной учетки.

Admin

Монтирование каталогов

→

Похожие темы