Я недавно установил сервер с FreeRADIUS для аутентификации и отслеживания логинов администратора на некоторых из моих устройств.
Я ищу возможность аутентификации моих машин Linux и FreeBSD по RADIUS с помощью модуля pam_auth_radius. В настоящее время я работаю с виртуальной машиной Ubuntu 10.04 для тестирования. Кроме того, в настоящее время я тестирую RADIUS, аутентифицируя только удаленных пользователей SSH, я бы хотел, чтобы ВСЕ аутентификация выполнялась таким образом в какой-то момент.
Следуя инструкциям со всего Интернета, я устанавливаю pam_auth_radius и добавьте строку со ссылкой на модуль в /etc/pam.d/sshd, а также добавьте адрес моего сервера и общий секрет в /etc/pam_radius_auth.conf.
После этого я могу пройти аутентификацию по RADIUS ... однако аутентифицироваться могут только пользователи, которых я добавил на тестовую машину (с помощью adduser). Например, пользователь «cory» является действующим пользователем RADIUS, для которого RADIUS возвращает «Accept», но я продолжаю получать «Permission Denied», пытаясь войти в систему через ssh, пока не «adduser cory».
Нужно ли мне добавлять каждого пользователя-администратора на каждый сервер? Я понимаю, что могу создавать пользователей без пароля, так что на самом деле это не проблема безопасности, но это просто лишает смысла наличие центрального сервера аутентификации, если мне все еще нужно управлять учетной записью на каждом устройстве.
Есть ли способ динамически создать временного пользователя / каталог / и т.д.? Или можно сопоставить пользователей, аутентифицируемых через RADIUS, с существующей учетной записью, чтобы избавиться от необходимости создавать каждого пользователя?
Что происходит, так это то, что без остальных необходимых структур система Linux не имеет никакой информации о пользователе «cory». Такие вещи, как UID / GID, оболочка, домашний каталог, что угодно.
Вы можете настроить локальную учетную запись пользователя, а затем указать PAM, чтобы он проверял действительный пароль по RADIUS.
Что вам действительно нужно, так это настроить LDAP. Это позволит вам определять полные учетные записи пользователей Unix в центральной базе данных. Затем вы должны настроить свой сервер RADIUS для проверки базы данных LDAP для тех устройств, которые могут его использовать.