사용자를 인증하기 위해 PAM을 통해 LDAP를 사용하도록 일부 서버를 구성하고 있습니다. 또한 pam_group을 사용하여 audio/video/vboxusers/...와 같은 일부 시스템 그룹에 모든 사용자를 추가합니다.
내 PAM 구성은 대부분의 서비스(su, login 및 sudo 모두 pam_group을 고려함)에서 작동하지만 SSH에서는 작동하지 않습니다. 구체적으로 공개키를 사용하여 인증하면 /etc/security/group.conf에서 그룹이 추가되지 않지만, 비밀번호를 사용하여 인증하면 그룹이 추가됩니다.
주위를 둘러보니 SSH 공개 키 인증이 PAM 스택을 우회하고 사용자 자격 증명 자체를 설정하므로 pam_group과 같은 PAM 관련 구성을 무시한다는 사실을 발견했습니다. 이상하게도 LDAP 그룹(보통 pam_ldap에 의해 설정됨)은 비밀번호 유무에 관계없이 모든 경우에 설정됩니다.
나는 사용자가 인증 방법에 관계없이 항상 동일한 그룹의 구성원이 되도록 사용자 경험을 최대한 예측 가능하게 만들고 싶습니다. pubkey 인증을 사용할 때 /etc/security/group.conf에서 그룹을 추가하도록 SSH를 구성할 수 있는 방법이 있습니까?
미리 감사드립니다.
답변1
아마도 그렇지 않을 것입니다.
이것매뉴얼 페이지pam_group설명하다:
오직승인하다모듈 유형이 제공됩니다.
SSH는 공개 키를 사용할 때 인증을 위해 PAM을 사용하지 않으므로 auth이러한 모듈은 사용되지 않습니다.
에 관해서는왜 pam_groupauth모듈이 아닌 모듈로만 작동한다고 말할 session수는 없습니다.