Позвольте пользователям ssh определенному пользователю через ldap и сохраненные открытые ключи

Автор gitolite добавил некоторые опции, которые помогают поддержать внешние базы ключей и информацию о составе группы. Ищите ЖУРНАЛ ИЗМЕНЕНИЙ LDAP.

Для использования внешней базы ключей sshd должен поддерживать обычное .ssh/authorized_keys файл (это - файл, который говорит sshd выполнять gl-auth-command, когда gitolite пользователь входит в систему).

1. Выключите нормальное authkey поколение (тот на основе keydir в gitolite-admin репозиторий):
   $GL_NO_SETUP_AUTHKEYS = 0; в Вашем .gitolite.rc.
2. Периодически (любое время ключ изменяется, пользователь добавляется, и т.д.):
   1. Извлеките все ключи SSH из своей базы ключей в некоторый удобный, временный каталог (используйте те же названия файлов ключей, как будто они были в нормальном находящемся в репозитории keydir).
   2. Выполненные gl-setup-authkeys, чтобы иметь gitolite восстанавливают его часть authorized_keys файл.

См. сообщение о фиксации, которое представило gl-setup-authkeys для собственного описания автора.

Используя внешне созданного пользователя группы немного более хитры, так как это обычно включает вставку другой программы между sshd, и gl-auth-command (составы группы передаются как дополнительные аргументы gl-auth-command). См. “группы пользователей и инструменты LDAP/similar”.

Если Вы хотели попробовать что-то немного от стены, Вы заставляете .ssh/authorized_keys2 быть именованным каналом и записать сценарий/программу, который запрашивает LDAP, выполняет надлежащую фильтрацию и затем выкладывает содержание authorized_keys ключи. Я предлагаю authorized_keys2, так как Вы уже, вероятно, используете authorized_keys.

Необходимо было бы быть осторожными со сценарием (часы для блокирования записей, знать, когда сделать новый запрос, и т.д.), но это даст Вам, право отвечает каждый раз, если Вы сделали его правильно.