pam_krb5のKerberosを介して無効にされたADアカウントへのアクセスを拒否するにはどうすればよいですか？

ロックされたアカウントがSSH経由でログインできないように、SSHを「修正」するように求めている他の人を読んだことがあります。 （Debianバグ219377を参照）このリクエストは、「passwd-lをpasswdのみをロックすることに慣れていたユーザーからの期待に反するため」パッチとして拒否されました。 （Debianバグ389183を参照）例：一部の人々は、パスワードログインからアカウントをロックできることを望んでいましたが、それでもSSHキーアクセスを許可しています。

PAMは、ロックされたばかりのアカウントへのSSHキー認証を拒否しません（たとえば、SSHキー認証は、アカウントが通常ロックされる場所であるパスワードフィールドに注意を払わないように設計されているため、パスワードの試行が無効であるため）。

パスワードハッシュエントリは、pam_acct_mgmt（）時ではなく、pam_authenicate（）時に暗黙的にチェックされることを理解しています。 pam_unix.so pam_sm_acct_mgmt（）はパスワードハッシュをまったくチェックせず、公開鍵認証中にpam_authenticate（）は呼び出されません。

アカウントのログインを一元的に無効にできるようにする場合は、次のような他の回避策が考えられます。

ログインシェルを変更します。

authorized_keysファイルを（再）移動します。

アクセスを拒否する別のオプションは、sshd_configでDenyGroupsまたはAllowGroupsを使用することです。 （次に、ユーザーを「sshdeny」グループに追加するか、「sshlogin」グループからユーザーを削除して、ログインを無効にします。）（こちらをお読みください： https://help.ubuntu.com/8.04/serverguide /user-management.html ）

From http://web.archiveorange.com/archive/v/67CtqEoe5MhDqkDmUMuL 「問題は、pam_unixがパスワードハッシュフィールドの内容ではなく、シャドウエントリの有効期限のみをチェックすることです。」これが当てはまる場合、アカウントをロックするのではなく、expiringする必要がありますか？

あなたの質問への答えはおそらく「はい、ifパスワードフィールド以外の場所でそれらを無効にしている」です。

SSH鍵ベースの認証はPAMから独立しています。次の解決策があります。

• sshd_configでキーベースの認証を無効にする
• sshdを変更して再コンパイルし、フックを追加して、キーベースの認証がアカウントがpam経由で有効かどうかも確認するようにします。

Kerberos経由でパスワードなしのログインを使用する場合は、次のことを確認する必要があります。

• sshdにpamを使用していません
• kerberosが適切に構成されています。例えば。できるよ kinit -k Host/server1.example.com@DOMAIN

• sshdはgssapiを使用するように設定されています。

  KerberosAuthenticationはいGSSAPIAuthenticationはいGSSAPICleanupCredentialsはいUsePAMいいえ

• puTTY v0.61以降のようなKerberos化されたsshクライアントを使用します。