Active Directory에 대해 사용자를 인증하는 Linux 서버가 있습니다. 이제 대화형 로그인에는 사용자 이름과 비밀번호가 필요하고, 자동 로그인에는 비밀번호 없는 인증을 위해 Keytab(Kerberos)이 필요합니다.
그러나 나는 읽었다.NIST 적외선 7966keytab 인증은 공개/개인 키 쌍 인증만큼 안전하지 않습니다. 이 경우 명령 실행에 대한 액세스를 제한하고 사용자가 인증할 수 있는 시스템을 더 효과적으로 제어할 수 있기 때문입니다.
따라서 공개/개인 키 쌍을 사용하여 Linux 서버에서 Active Directory에 대한 인증을 진행하고 싶습니다. 가능합니까?
답변1
예, sshd 옵션을 사용하여 kerberos 및 공개 키 인증을 모두 요구할 수 있습니다 AuthenticationMethods
.
인증방법
사용자 액세스 권한을 부여하기 위해 성공적으로 완료되어야 하는 인증 방법을 지정합니다. 이 옵션 뒤에는 하나 이상의 쉼표로 구분된 인증 방법 이름 목록이 와야 합니다. 인증에 성공하려면 이 목록에 있는 각 방법 중 하나 이상을 완료해야 합니다. [...] 프로토콜 1도 활성화된 경우 이 옵션은 치명적인 오류를 생성합니다. 나열된 각 인증 방법도 구성에서 명시적으로 활성화되어야 합니다.
따라서 sshd_config에 다음을 작성해야 합니다.
Protocol 2
GSSAPIAuthentication yes
PubkeyAuthentication yes
AuthenticationMethods gssapi-with-mic, publickey