테스트 목적으로 매우 작은 가상 머신을 설정하고 vsftp가 구성된 CentOS 1708을 실행했습니다. 나는 사용했다
https://www.rootusers.com/how-to-join-centos-linux-to-an-active-directory-domain/
운영 체제 부분에 대해 AD 인증을 설정하지만 AD 사용자가 FTP 클라이언트를 통해 로그인할 수 없도록 하세요.
주로 인터넷이 아닌 내부 SSH를 통한 AD 인증이 필요하며 FTP 로그인을 위해서는 순전히 로컬 사용자를 통해 인증해야 합니다.
사용자가 ssh를 통해 VM에 로그인하지 않은 경우 홈 디렉터리를 생성할 수 없기 때문에 AD 자격 증명을 사용하여 ftp 포트 21을 통해 로그인할 수 없다는 것을 확인했습니다.
괜찮을 것 같은데 AD를 통한 AD 인증을 완전히 차단하고 SSH나 터미널을 통해서만 허용하는 방법을 찾고 있습니다.
FTP를 통한 AD 인증을 원하지 않습니다. 이렇게 하면 AD 사용자가 "해킹"되거나 인터넷이 차단될 위험이 있으므로
이를 달성하는 방법에 대한 제안 사항이 있습니까?
답변1
vsFTPd 인증과 관련된 PAM 모듈은 /etc/pam.d/vsftpd. 기본적으로 한 줄이 있습니다.
auth include password-auth
비밀번호 기반 인증을 위해 시스템 전체 기본 PAM 구성을 사용합니다( 에 지정됨) /etc/pam.d/password-auth. AD 인증을 구성할 때 일반적으로 관련 PAM 모듈을 /etc/pam.d/password-auth.
vsFTPd와 함께 AD 인증을 전혀 사용하지 않으려면 /etc/pam.d/vsftpd파일을 편집하십시오. 이 줄을 주석 처리하세요.
auth include password-auth
주석 처리된 줄 뒤에 password-authAD 인증이 구성되지 않은 시스템에 존재하는 것처럼 파일에 관련 줄을 작성합니다.
auth required pam_env.so
auth required pam_faildelay.so delay=2000000
auth sufficient pam_unix.so nullok try_first_pass
auth requisite pam_succeed_if.so uid >= 1000 quiet_success
auth required pam_deny.so
이러한 방식으로 AD 인증 공급자 모듈은 vsFTPd 인증에 참여하는 것을 완전히 차단하므로 vsFTPd에 대한 인증 프로세스는 마치 시스템에 AD 통합이 전혀 없는 것처럼 됩니다.
답변2
SSSD AD 공급자는 액세스 제어를 위한 GPO 정책 평가를 허용하고 Windows 로그인 권한을 Linux PAM 서비스에 전달합니다. 이 경로를 탐색하는 것이 좋습니다. 그건 그렇고, 나는 또한 서비스를 블랙리스트에 추가하지 말고 다른 방법으로 Linux 호스트에서 허용하려는 서비스만 화이트리스트에 추가하는 것을 권장합니다. sssd-ad 매뉴얼 페이지에는 로그인 권한을 PAM 서비스에 매핑하는 몇 가지 예가 있습니다.