私はLinuxシステムへのログインがMicrosoft Active Directoryとグループメンバーシップによって管理されるソリューションを確立しました。これで、訪問時間に基づいて広告ユーザーがシステムから追い出されるようにしたいと思います。
私はRADIUSとついにそれを実現する可能性についていくつかの記事を読んだ。私が達成したいのは…
- ...ユーザーaはActive Directoryログイングループに追加されますが、Linuxシステムにはログインできません。
- ...ユーザーaはWebサイトに電話して数時間または数日間サーバーxへのアクセスを要求できますが、これはユーザーaがこの広告グループに属している場合にのみ可能です。
- ...ユーザーAは、自分のAD資格情報と、可能であれば2番目の要素(たとえば、使い捨てパスワード)を使用してサーバーをアクティブにします。
- ...ユーザーaはシステムから追い出され、一定時間が経過すると再度ログインできなくなります。
このようなシナリオ、またはここで動作できる同様のシナリオを経験した人はいますか?それともこれを達成するのに役立つソフトウェアを知っていますか?
ありがとうございます!
ベストアンサー1
一時OpenSSH証明書を発行して、タイムアウトのあるSSHログインを有効にできます。これを行う方法を説明するさまざまなWebページがあります。SSHキージェネレータツール。ユーザーはWebサービスによって認証され、SSH-CAは数時間または数日間有効なOpenSSH証明書(X.509以外)を発行します。
また、小さなPythonスクリプトを使用してクライアント側からアクセスできる単純なステートレスWebサービスとして、クライアント用のSSH-CAコンポーネントを実装しました。
ただし、これにより、証明書が期限切れになった後にユーザーがこのキーを使用して再ログインするのを防ぐことができます。トリッキーな部分は、その時間後にアクティブなユーザーセッションを確実に削除することです。特に、これを本当に実行するのか、継続的なSSHセッションを監視して警告するのかを明確にする必要があります。