ssh세션에 대해 AD 사용자를 인증하기 위해 Redhat 호스트를 설정했습니다 . 모든 것이 예상대로 작동하지만 문제가 있습니다. 사용자 자격 증명이 어딘가에 캐시됩니다.
~ 위에처음 로그인를 사용하면 ssh사용자에게 비밀번호를 묻는 메시지가 표시되지만 나중에(두 번째, 세 번째 시도 등) 사용자가 SSH 연결을 시작할 때마다 ssh connection비밀번호를 묻는 메시지도 표시되지 않고 연결이 설정됩니다. 이는 보안상 위험할 수 있습니다.
자격 증명이 캐시되지 않도록 방지하는 방법그리고 사용자가 RHEL 서버에 연결할 때마다 비밀번호를 입력하도록 합니다.
/etc/sssd/sssd.conf
[nss]
filter_groups = root
filter_users = root
reconnection_retries = 3
[pam]
reconnection_retries = 3
[domain/example.com]
ad_domain = example.com
krb5_realm = EXAMPLE.COM
realmd_tags = manages-system joined-with-samba
cache_credentials = false
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = True
use_fully_qualified_names = True
fallback_homedir = /home/%u@%d
access_provider = simple
simple_allow_groups = Domain Admins
답변1
이는 SSSD 캐싱 자격 증명이 아니라 SSH가 GSSAPI 또는 공개 키를 사용하여 사용자를 기록합니다. SSSD가 자격 증명을 캐시하더라도 항상 비밀번호를 묻는 메시지가 표시됩니다.
답변2
문제를 발견했는데 SSH 세션 자격 증명이 내 터미널에 캐시되었습니다. 기본값을 MobaX freeware사용하여 비밀번호 라이브러리를 지웠습니다."save password"yes
¯\_(ツ)_/¯ ¯\_(ツ)_/¯