Как запретить использование корневой учетной записи LDAP

tag-icon tag-icon authentication pam ldap
Как запретить использование корневой учетной записи LDAP

Я отвечаю за несколько серверов в моем университете. Все эти машины настроены на взаимодействие с сервером LDAP моего факультета, чтобы разрешить централизованный вход пользователей. На этом сервере LDAP есть пользователь с именем root:

# getent passwd | grep root
root:x:0:0:root:/root:/bin/bash
root:x:0:0:Netbios Domain Administrator:/home/root:/bin/false

Недавно я столкнулся с проблемами с rootучетной записью на одном из серверов, за которые я отвечаю: моя попытка подключения по SSH была успешно аутентифицирована для локального rootпользователя, но домашний каталог был взят из LDAP как /home/root. Кроме того, я обнаружил, что можно аутентифицироваться как root с учетными данными LDAP rootна любом сервере, т. е. если аутентификация для локального пользователя rootне удалась, пробуется LDAP root, и, если пароль правильный, пользователь входит в систему как суперпользователь.

Я считаю, что это не очень безопасно, и неоднозначность двух rootучетных записей должна быть устранена. Однако, по мнению нашего ИТ-отдела, LDAP rootнеобходим.

Как мне отфильтровать rootучетную запись из LDAP, чтобы запретить аутентификацию с ней? Я использую pam_ldap.soи также некоторые директивы ldap в /etc/nsswitch.conf.

решение1

Есть много способов, вот несколько простых:

  • в /etc/ssh/sshd_configизменить PermitRootLoginна нет (это обычно хорошая идея, затем положиться на su/ sudoдля администрирования). Это влияет только на SSH, конечно.
  • в различных файлах конфигурации PAM используйте pam_listfileмодуль, чтобы явно разрешить или запретить определенные учетные записи (необходимо сделать для каждой службы)
  • в различных файлах конфигурации PAM настройте pam_ldapмодуль pam_min_uidна 1 (или выше), чтобы root не мог войти в систему (необходимо сделать для каждой службы)
  • измените фильтр поиска PAM LDAP ( pam_filter), чтобы исключить пользователей (например pam_filter (uidNumber>=1), , или вы можете изменить базу/область действия

Любой из последних двух вариантов может подойти вам лучше всего. Вам также может потребоваться внести некоторые изменения в локальную конфигурацию PAM, чтобы локальная учетная запись root pam_unix могла успешно пройти, если pam_ldapона не сработает (например, ordering и required/required/sufficient).

Связанный контент