Я использую сервер FreeIPA, настроенный с ключами SSH, добавленными к пользователям. Я пытаюсь настроить серверы для аутентификации с использованием ключей ssh с IPA-сервера, поэтому мне не нужно управлять таким количеством файлов authorized_keys.
Я могу подтвердить, что ключи добавляются и могут быть получены с помощью sss_ssh_authorizedkeys
из командной строки, которая при запросе возвращает соответствующие ключи для каждого пользователя. Однако, когда sshd запускает команду, sss_ssh_authorizedkeys
выдает ошибку с кодом 13.
Моя тестовая система - это мой сервер CentOS IPA.
Я добавил следующий фрагмент в свой sshd_config
, чтобы включить эту конфигурацию:
AuthorizedKeysCommand /usr/bin/sss_ssh_authorizedkeys
AuthorizedKeysCommandUser nobody
Я также попробовал AuthorizedKeysCommandUser
как root, чтобы убедиться, что это не проблема с разрешениями.
Я погуглил свою ошибку, которая возвращает единственный результат из IRC-архива, где конечный результат (насколько я могу судить) заключался в том, что решение было отправлено по электронной почте запрашивающему. Я подумал, что это может быть проблема с SELinux (который мучил меня в сценариях веб-сервера), но поиск « Это мой фрагмент httpd-xampp.conf для phpMyAdmin Я использовал http: // localhost / phpmyadmin / и http://127.0.0.1/phpmyadmin/
оба не работают. Получу ошибку 403. ssh
», « sshd
» или « авторизованных ключей
"не дает ничего необычного, что я мог видеть. Я также не очень хорошо умею читать журналы аутентификации, поэтому я не исключаю SELinux как виновника здесь.
Alias /phpmyadmin "C:/xampp/phpMyAdmin/"
<Directory "C:/xampp/phpMyAdmin">
AllowOverride AuthConfig
#Require all granted
Order Deny,Allow
Deny from all
Allow from 127.0.0.1
#ErrorDocument 403 /error/XAMPP_FORBIDDEN.html.var
</Directory>
Может быть, это Apache 2.4 и вы используете конфигурацию для 2.2?
В 2.2, контроль доступа, основанный на имени хоста клиента, IP-адресе, и др. характеристики запросов клиентов были выполнены с использованием директив
Порядок
,Разрешить
,Запретить
иУдовлетворить
.В пункте 2.4 такой контроль доступа осуществляется. так же, как и другие проверки авторизации, используя новый модуль. mod_authz_host. Старые идиомы контроля доступа должны быть заменены на новые механизмы аутентификации, хотя для совместимости со старыми В конфигурации нового модуля mod_access_compat предусмотрено.
Самым простым способом достижения этого на 2.4 будет замена всех Allow
/Deny
на
Require local
Локальный
провайдер
разрешает доступ к серверу, если любой из следующих способов условия истинны:
- адрес клиента совпадает с
127.0.0. 0/8
- адрес клиента равен
::1
- и адрес клиента, и адрес сервера соединения совпадают