2台のサーバーがあるとしましょう。ㅏそして第二
ㅏ:深刻な収容。 TOTP(Google Authenticator)、パスワード、有効な公開鍵が必要です。サーバーでは、ユーザーはadmアカウント(username-adm)を使用してBにログインできます。これらのアカウントには、リモートシステムにパスワードがないsudoがあります。
第二:複数の場所からログインでき、パスワードと有効なユーザーのみが必要です。
今私たちは欲しい障害を負うadm アカウントへのローカルログインです。意味彼らできないサーバーBにログインユーザーその後、切り替えユーザー管理。
私はこれを次のように達成できると思います(私たちはPAMとLDAPを使用しています)。
/etc/sudoers.d
+it-org-adm-group ALL=(ALL) NOPASSWD: ALL
/etc/security/access.d
+:@it-org-adm-group : SERVER-A-IPV4 SERVER-A-IPV6
問題は、sudoがpamスタックを評価することです!これは、ローカルログインを明示的に許可しない限り、これらのユーザーに対してsudoが機能しないことを意味します。
/etc/security/access.d
+:@it-org-adm-group : SERVER-A-IPV4 SERVER-A-IPV6 LOCAL
では、予防する方法はないでしょうか?特定のグループ~から地元のログインしましたが、sudoを許可しますか?他のユーザーは、ユーザーまたは他のユーザーを自由に切り替えることができる必要があります(正しい資格情報があると仮定)。 PAMはサーバーファミリに緊密に統合されているため、PAMを使用する必要があります。