ssh - SSH + Radius + LDAP-6ren

ssh - SSH + Radius + LDAP

转载作者：行者123 更新时间：2023-12-02 14:23:33

25

4

我已经对ssh(openssh)和radius进行了大量研究。

我想做的事:

SSH登录到具有存储在Radius服务器或ldap存储中的凭证(用户名和密码)的设备。我一直在网上阅读，有人指出在您的Radius服务器的后台运行ldap服务器。这将起作用，但是仅当在本地计算机中找到用户时才起作用。

问题:
我是否可以通过包含凭证的Radius服务器登录来通过ssh(或telnet)登录我的设备？如果没有，则没有办法让客户端(我尝试连接的机器)获取凭据的更新列表，并将其从中央位置(无论是Radius服务器还是sql数据库等)本地存储。

我已经能够通过Radius进行连接，但只能在本地帐户上进行连接，但是例如，如果我尝试使用本地不存在的帐户进行连接(客户端方式)，则会收到“不正确”的提示

这是半径输出:
码:

rad_recv: Access-Request packet from host 192.168.4.1 port 5058, id=219, length=85  User-Name = "klopez"
    User-Password = "\010\n\r\177INCORRECT"
    NAS-Identifier = "sshd"
    NAS-Port = 4033
    NAS-Port-Type = Virtual
    Service-Type = Authenticate-Only
    Calling-Station-Id = "192.168.4.200"

码:

[ldap] performing user authorization for klopez[ldap] WARNING: Deprecated conditional expansion ":-".  See "man unlang" for details
[ldap]     ... expanding second conditional
[ldap]     expand: %{User-Name} -> klopez
[ldap]     expand: (uid=%{Stripped-User-Name:-%{User-Name}}) -> (uid=klopez)
[ldap]     expand: dc=lab,dc=local -> dc=lab,dc=local
  [ldap] ldap_get_conn: Checking Id: 0
  [ldap] ldap_get_conn: Got Id: 0
  [ldap] performing search in dc=lab,dc=local, with filter (uid=klopez)
[ldap] No default NMAS login sequence
[ldap] looking for check items in directory...
  [ldap] userPassword -> Cleartext-Password == "somepass"
  [ldap] userPassword -> Password-With-Header == "somepass"
[ldap] looking for reply items in directory...
[ldap] user klopez authorized to use remote access
  [ldap] ldap_release_conn: Release Id: 0
++[ldap] returns ok
++[expiration] returns noop
++[logintime] returns noop
[pap] Config already contains "known good" password.  Ignoring Password-With-Header
++[pap] returns updated
Found Auth-Type = PAP
# Executing group from file /etc/freeradius/sites-enabled/default
+- entering group PAP {...}
[pap] login attempt with password "?  INCORRECT"
[pap] Using clear text password "somepass"
[pap] Passwords don't match
++[pap] returns reject
Failed to authenticate the user.
  WARNING: Unprintable characters in the password.  Double-check the shared secret on the server and the NAS!
Using Post-Auth-Type Reject
# Executing group from file /etc/freeradius/sites-enabled/default
+- entering group REJECT {...}
[attr_filter.access_reject]     expand: %{User-Name} -> klopez
attr_filter: Matched entry DEFAULT at line 11
++[attr_filter.access_reject] returns updated
Delaying reject of request 3 for 1 seconds

我还安装了pam_radius及其功能(可以登录到本地存在的帐户)。尽管我读了此书，但不知道这是否100％准确:

http://freeradius.1045715.n5.nabble.com/SSH-authendication-with-radius-server-fails-if-the-user-does-not-exist-in-radius-client-td2784316.html
和
http://fhf.org/archives/713

tl:dr:
我需要在没有本地用户/密码的机器上使用ssh，并且该组合将远程存储，例如Radius服务器或ldap。

请指教

附言

该解决方案最好使用radius服务器或ldap，但不是必需的。如果有其他选择，请告知。

谢谢，

凯文

最佳答案

您可以将SSH配置为使用PAM LDAP直接针对LDAP服务器进行身份验证。

我已经在Debian Systems上设置了它:
https://wiki.debian.org/LDAP/PAM
https://wiki.debian.org/LDAP/NSS

您需要同时拥有PAM和NSS才能使SSH正常工作。您还需要在SSH配置中启用PAM。在Debian(或Ubuntu)系统上安装libnss-ldapd libpam-ldapd和nslcd软件包。

关于ssh - SSH + Radius + LDAP，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/18432664/

25

4

0

文章推荐： grails - Grails配置文件返回空对象而不是字符串

文章推荐： grails - 未使用Grails 2.3.11为 quartz 插件创建表

ldap - Spring LDAP 与 UnboundId LDAP
我们正在构建一个新的库，它需要对我们的主要身份管理 LDAP 系统进行读/写。我们正在考虑使用 Spring LDAP ( http://projects.spring.io/spring-ldap
ldap - LDAP 中使用哪个参数进行身份验证
在 LDAP 身份验证的情况下，是什么？参数一般用于身份验证 .我想对于通过 ldap 登录的用户来说，使用 DN 会很头疼，因为它太大而无法记住。使用 uid 或 sAMAccountName
ldap - LDAP 有何用途？
我知道 LDAP 用于提供一些信息并帮助促进授权。但是 LDAP 的其他用途是什么？最佳答案我将重点讨论为什么使用 LDAP，而不是 LDAP 是什么。使用模型类似于人们使用借书卡或电话簿的方
ldap - 使用 net-ldap 库查询 Ldap 组详细信息
我正在尝试查询 LDAP 服务器以获取使用 ruby 的 net-ldap 库的任何组的详细信息 require 'rubygems' require 'net/ldap' username =
java - 使用 spring ldap 模板如何管理获取存储在第一个找到的 ldap 条目的属性中的 dn 的 ldap 条目，而无需第二次 ldap 调用
在使用 spring ldap 模板的 Ldap 搜索中，我返回一个 User 对象，该对象具有保存另一个用户的 dn 的属性之一。并且，User 对象有一些属性需要使用其他用户的 ldap 条目获取
ldap - 如何在 python-ldap 中根据 dn 搜索 LDAP 中的对象？
我正在尝试使用例如search_s函数根据对象的完整可分辨名称搜索对象，但我觉得这并不方便。例如， search_s('DC=example, DC=com', ldap.SCOPE_SUBTREE,
java - LDAP 过滤器查询如何工作，特别是在 Java LDAP/spring LDAP 中？
LDAP 查询如何工作:-(我)。 Windows Powershell(二). Java JNDI(三)。 SpringLDAP 上述 3 种方法中的 LDAP 筛选器查询是否仅搜索前 1000 条
ldap - 如何使用 Spring 安全性从 Active Directory LDAP 填充 LDAP 权限？
我们正在使用 spring security 在我们的应用程序中对来自 LDAP 的用户进行身份验证。认证部分工作正常，但授权部分不工作。我们无法从 LDAP 中检索用户的角色。来自本书《 Sp
ldap - LDAP 专有名称有多长(最大字符数)？
这个问题在这里已经有了答案: Does the LDAP protocol limit the length of a DN (3 个回答) 关闭8年前。 DN 是否有最大长度？如果我想将它们存储在数
ldap - SaaS LDAP/目录服务？
我知道我的谷歌搜索技能让我失望了，因为那里有必须是这样的:一个简单、易于使用的远程托管目录服务(更好的是，通过几个不同的接口(interface)和 SSO 公开用户目录)。你知道一个和/或有一个
ldap - Weblogic 不缓存 LDAP
我有一个使用 JSF 2.1 和 JEE 6 设置的 Web 应用程序，该应用程序在 WebLogic 12.1.2 服务器上运行，并带有用于身份验证的 openLDAP。我一直注意到在应用程序中加载
ldap - 如何仅从 LDAP 目录中检索自特定日期以来添加的那些用户和组的列表？
我的应用程序每天执行一次 LDAP 查询并获取给定容器中的所有用户和组。获取后，我的应用程序将遍历组的用户列表，仅将新用户添加到我的应用程序数据库中(它仅添加用户名)。如果有 50,000 个用户，
ldap - LDAP over SSL 是否需要客户端上的证书？
我正在尝试解决一个问题，即尝试通过 LDAP 设置用户密码失败，因为访问被拒绝错误 - 即使我正在使用管理员用户对 AD 进行身份验证。在 stackoverflow 中找到的答案说，要么我必须以管
ldap - 是否可以为 LDAP 用户设置本地组
我有一个我没有完全权限的 LDAP 服务器和一个我是 root 的具有 LDAP 身份验证的 ubuntu 系统。是否可以将 LDAP 用户添加到本地组？ (我不知道我的表述是否正确，但我想要的只是在
ldap - 如何为 LDAP 结构定义自增数？
我有一个属性(groupIDNumber)，我想让它作为自动递增数字工作？我们如何定义该属性？感谢您的帮助， -纳米最佳答案这不是 LDAP 协议(protocol)的一部分，也不是标准的做法
ldap - 不区分大小写的 LDAP 搜索
对“uid”属性执行不区分大小写匹配的语法是什么？如果属性定义很重要，那么它将如何更改？特别是我将 ApacheDS 用于我的 LDAP 存储。最佳答案 (uid=miXedCaseUSer)将匹配
ldap - 有没有免费的带数据的 LDAP 服务器？
已结束。此问题正在寻求书籍、工具、软件库等的推荐。它不满足Stack Overflow guidelines 。目前不接受答案。我们不允许提出寻求书籍、工具、软件库等推荐的问题。您可以编辑问题，以便
ldap - 嵌套组 LDAP 搜索过滤器
我需要有关 LDAP 搜索过滤器的信息来提取嵌套组成员资格。基本上，我的想法是，例如，一个用户属于 5 个组 [A、B、C、D、E]我可以编写单个 LDAP 搜索查询来获取组 [A、B、C、D、E]
ldap - 无法连接到 LDAP 服务器
我关注了 installing ldap on centos 在我的服务器上设置 LDAP 服务器的指南，完成所有安装步骤后，我执行了 ldapsearch -x -b "dc=test,dc=com
ldap - 如何编写 LDAP 查询来测试用户是否是组的成员？
我想编写一个 LDAP 查询来测试用户 (sAMAccountName) 是否是特定组的成员。是否可以这样做以便我获得 0 或 1 个结果记录？我想我可以获取用户的所有组并测试每个组是否匹配，但我想

首页

博学

6Ren·AI

商城

ssh - SSH + Radius + LDAP