Возможно ли на этапе аутентификации pam_ldap отобразить произвольный атрибут LDAP записи пользователя в результирующую среду пользователя?
Специфика моей ситуации, если вы видите другой подход к проблеме, заключается в том, что я написал специальную подсистему SFTP, которая сопоставляет команды SFTP с пулом Ceph / Rados. Я хочу, чтобы эта подсистема использовала ключ, связанный с аутентифицированным пользователем, для подключения к кластеру Ceph (для управления доступом к пулу и т. Д.)
Я уже буду аутентифицировать пользователей через LDAP для соединения SSH / SFTP и считаю, что могу заблокировать доступ для чтения к их ключевому атрибуту Ceph только для root и self. Я бы предпочел не выполнять еще один поиск LDAP, используя общую учетную запись привязки LDAP, если это возможно.
Обновить:
Хотя я не нашел способа сделать именно то, о чем я прошу здесь, у меня есть кое-что "работающее", которое использует pam_exec.so модуль сеанса (как root), чтобы получить атрибут ldap и записать его в /run/users/<UID>/<filename>.<SESSION_ID> (по chmod 400, chown <UID>:root). Затем настраиваемая подсистема (как аутентифицированный пользователь) считывает и удаляет этот файл.
Хотя это работает, вызывает ли это серьезное беспокойство по поводу безопасности?