Studi kasus yang menarik tentang izin.

0

Kami memiliki dua pengguna. Tom dan Jim. Sistem menggunakan krb5 dan sldap.

Tom$ ssh machine1.somecompany.com
Password: 
Permission denied (publickey,gssapi-with-mic,keyboard-interactive).

//////

Jim: ssh machine1.somecompany.com
Password:
sucesss

Jim@machine1$
Jim@machine1$ id Jim
uid=1178(Jim) gid=1178(Jim) groups=1178(Jim),0(wheel),60002(AAA),60006(BBB),60007(CCC)

Jim@machine1$ id Tom
uid=1178(Tom) gid=1178(Tom) groups=1178(Tom),0(wheel),60002(AAA)

//////
Tom$ ssh machine2.somecompany.com
Password: 
success!
Tom@machine2$ ssh machine1.somecompany.com
Password:
success!
Tom@machine1$

Jadi Jim dapat langsung ssh ke mesin 1; dan jim termasuk dalam dua kelompok ekstra BBB dan CCC dibandingkan dengan Tom. Tom tidak dapat ssh ke machine1 secara langsung. Namun, tom dapat ssh ke machine2 dan kemudian ssh ke machine1.

Apa artinya ini tentang sistem? Jika saya secara manual menambahkan Tom di grup BBB dan CCC akankah saya dapat langsung ssh ke machine1? Jika saya menghapus Jim dari BBB dan CCC akankah Jim dapat langsung ssh ke machine1?

hunkeelin
sumber

Jawaban:

0

Anda tidak memiliki cukup informasi untuk diketahui.

OpenSSH mengizinkan pembatasan login (mis. "Harus menggunakan otentikasi berbasis kunci") yang akan ditetapkan pada basis per-pengguna, per-grup, atau per-mesin, serta pada kriteria lain yang mungkin tidak relevan. Untuk mengetahuinya, Anda harus mencari di file konfigurasi daemon ( /etc/ssh/sshd_config ), dan mungkin di file konfigurasi per pengguna ( ~/.ssh/* ).

Mark
sumber
Terima kasih. Keberatan jika saya bertanya baris mana yang saya cari di sshd_config. Saya melihat file dan saya tidak menemukan apa pun mengenai izin.
hunkeelin
Anda sedang mencari bagian yang dimulai dengan a Match baris. Mungkin juga batasannya ada dalam konfigurasi pribadi pengguna; Saya tidak yakin apa yang akan Anda cari di sana.
Mark