필요하다

tag-icon tag-icon linux ssh rhel access-control
필요하다

필요하다

  • ssh-jailed는 모든 그룹에 대한 액세스를 제한하지만 하나의 그룹을 허용합니다.

login to VM-GP324911 for users in GP324911, deny others.
login to VM-GP9e68e for users in GP9e68ea, deny others.
login to VM-GPea7899 for users in GPea7899, deny others.

In some cases, an user can be in Group - GP324911 and GP9e68ea or others, 
access or login should work based on group assigned to that VM.
GPO를 사용하면 여러 AD 그룹이 SSH를 통해 여러 RHEL 가상 머신에 로그인할 수 있습니다. 더 제한하고 싶은 것은 하나의 AD 그룹만 허용하고 다른 그룹은 비활성화하는 것입니다.
단, 사용자가 2개 이상의 그룹에 속해 있는 경우 해당 그룹이 허용된 위치에만 로그인이 허용됩니다.

아래와 같이 SSH 일치 그룹을 사용해 보십시오.

Match Group GP324911
  PasswordAuthentication yes
  PubkeyAuthentication yes

Match Group GP9e68ea,GPea7899,GP2b4f8d,GP77c148,GPfeag5b,GP2g49g5,GPagd759
  PasswordAuthentication no
  PubkeyAuthentication no

위와 같이 작동합니다

  • GP324911, GP9e68ea용 사용자 섹션 - VM-GP324911 또는 VM-GP9e68ea에 로그인할 수 있습니다.

두 가지 질문 -

  • 작동이 중지되었습니다. 아래와 같이 일치 허용 블록을 일치 거부 블록 아래로 이동하면 그룹 GP324911이 VM-GP324911에 액세스하는 허용이 중지됩니다.
Match Group GP9e68ea,GPea7899,GP2b4f8d,GP77c148,GPfeag5b,GP2g49g5,GPagd759
  PasswordAuthentication no
  PubkeyAuthentication no

Match Group GP324911
  PasswordAuthentication yes
  PubkeyAuthentication yes
  • 우리는 그룹을 거부하고 그룹을 허용하려고 시도했지만 성공하지 못했습니다. 다른 방법을 사용하면 문제가 해결됩니다.

답변1

내부에sshd_config파일에서 각 옵션(여기서 관련되지 않은 몇 가지 예외 제외)은 해당 옵션이 처음 표시될 때만 적용됩니다. 두 개의 일치하는 부품이 있는 경우:

Match something...
    PasswordAuthentication yes

Match something else...
    PasswordAuthentication no

이 두 부분이 일치하는 사용자는 해당 옵션이 먼저 오기 때문에 해당 옵션에 대해 "예"로 끝납니다.

귀하의 경우 "일치 그룹 GP324911" 섹션이 먼저 나타나서 해당 옵션이 해당 그룹의 모든 사용자에게 적용되는 것 같습니다.

Match Group GP324911
  PasswordAuthentication yes
  PubkeyAuthentication yes

나중에 원하는 경우 "일치 그룹 GP9e68ea, GPea7899, GP2b4f8d, GP77c148 등" 섹션을 추가하고 옵션을 "아니요"로 설정할 수 있습니다. 아니면 이렇게 할 수도 있습니다:

Match all
  PasswordAuthentication no
  PubkeyAuthentication no

이는 GP324911 회원을 포함한 모든 사람과 일치합니다. 그러나 GP324911 회원에게는 첫 번째 일치 섹션에서 해당 사용자에 대한 옵션이 이미 설정되어 있으므로 이러한 옵션은 적용되지 않습니다.

관련 정보