允許用戶透過 ldap 和儲存的公鑰 ssh 到特定用戶

Question 1

作者是矽藻土增加了一些有助於支援外部金鑰儲存和群組成員資訊的功能。搜尋變更日誌對於 LDAP。

若要使用外部密鑰儲存您的sshd需要支援常用.ssh/authorized_keys文件（這是告訴我們的文件sshd跑步gl-auth-指令當一個矽藻土使用者登入）。

關閉正常的身份驗證金鑰產生（基於儲存庫keydir中的身份驗證金鑰產生gitolite-admin）：
$GL_NO_SETUP_AUTHKEYS = 0;在您的.gitolite.rc.
定期（每次更改金鑰、新增使用者等）：
1. 將金鑰儲存中的所有 SSH 金鑰提取到某個方便的臨時目錄中（對金鑰檔案使用相同的名稱，就像它們在普通的基於儲存庫中一樣keydir）。
2. 跑步gl-setup-authkeys具有矽藻土重建authorized_keys文件的其部分。

使用外部定義的使用者群組有點棘手，因為它通常涉及在之間插入另一個程式sshd和gl-auth-指令（組成員資格作為額外參數傳遞給gl-auth-指令）。看“用戶群組和 LDAP/類似工具”。

Answer

作者是矽藻土增加了一些有助於支援外部金鑰儲存和群組成員資訊的功能。搜尋變更日誌對於 LDAP。

若要使用外部密鑰儲存您的sshd需要支援常用.ssh/authorized_keys文件（這是告訴我們的文件sshd跑步gl-auth-指令當一個矽藻土使用者登入）。

關閉正常的身份驗證金鑰產生（基於儲存庫keydir中的身份驗證金鑰產生gitolite-admin）：
$GL_NO_SETUP_AUTHKEYS = 0;在您的.gitolite.rc.
定期（每次更改金鑰、新增使用者等）：
1. 將金鑰儲存中的所有 SSH 金鑰提取到某個方便的臨時目錄中（對金鑰檔案使用相同的名稱，就像它們在普通的基於儲存庫中一樣keydir）。
2. 跑步gl-setup-authkeys具有矽藻土重建authorized_keys文件的其部分。

使用外部定義的使用者群組有點棘手，因為它通常涉及在之間插入另一個程式sshd和gl-auth-指令（組成員資格作為額外參數傳遞給gl-auth-指令）。看“用戶群組和 LDAP/類似工具”。

Question 2

如果您想嘗試一些奇怪的東西，您可以將 .ssh/authorized_keys2 設為命名管道，並編寫一個腳本/程式來查詢 LDAP，執行適當的過濾，然後吐出authorized_keys 金鑰的內容。我建議使用authorized_keys2，因為您可能已經在使用authorized_keys。

您必須小心腳本（注意阻塞寫入，並知道何時執行新查詢等），但如果您做得正確，它每次都會給您正確的答案。

Answer

如果您想嘗試一些奇怪的東西，您可以將 .ssh/authorized_keys2 設為命名管道，並編寫一個腳本/程式來查詢 LDAP，執行適當的過濾，然後吐出authorized_keys 金鑰的內容。我建議使用authorized_keys2，因為您可能已經在使用authorized_keys。

您必須小心腳本（注意阻塞寫入，並知道何時執行新查詢等），但如果您做得正確，它每次都會給您正確的答案。

相關內容