AuthorizedKeysCommand в OpenSSH без пользователя
Можно ли настроить OpenSSH для вызова AuthorizedKeysCommand без соответствующего пользователя, зарегистрированного локально на хост-машине?
2 ответа
Решение
Если вы имеете в виду не локального пользователя, да, это вполне возможно, freeIPA Например, может хранить открытые ключи пользователей в своем бэкэнде LDAP:
ipa user-mod user –sshpubkey='ssh-rsa AAAA…'
и использует:
AuthorizedKeysCommand /usr/bin/sss_ssh_authorizedkeys
AuthorizedKeysCommandRunAs nobody
в /etc/ssh/sshd_config эффективно делегировать проверку авторизованных ключей `sssd', который, в свою очередь, настроен для связи с сервером freeIPA.
Рекомендации от freeIPA сайт здесь.
Нет.
sshd не может аутентифицировать пользователей, которые не существуют в соответствии с системой, на которой он работает. Пользователь должен существовать, хотя его не нужно определять локально.