Системный администратор Linux для настройки LDAP (Kerberos)

Настроить LDAP (Kerberos) аутентификацию для доступа по ssh на ряд

серверов с Gentoo Linux

а) Имеется OpenLDAP сервер, к которому клиенты осуществляют подключение

по TLS (LDAPS порт 636) через сертификат сервера. Таким образом уже

работает почтовый сервер и несколько других служб.

б) Требуется в первую очередь настроить подключение через сертификат

клиента (каждому клиенту выдаётся свой ключ, по которому он подключается

к серверу) помимо общего ключа сервера.

в) Настроить один из Gentoo серверов, чтобы клиенты, подключающиеся к

нему по SSH аутентифицировались через OpenLDAP и получали из OpenLDAP

такие параметры как UID, GID, путь к домашней директории и др.

Стандартные решения, предлагающие аутентификацию непосредственно через

pam_ldap предполагают сохранение plaintext пароля админской записи для

установки связи с сервером LDAP, что неприемлемо. Необходимо исследовать

и внедрить альтернативные методы, такие как Kerberos с бэкэндом из того

же LDAP.

г) В LDAP сервере есть группы. Требуется настроить аутентификацию так,

чтобы только пользователи из группы «allow_pam_access_to_ALL_servers»

могли заходить по SSH на все серверы, пользователи группы

«allow_pam_access_only_to_S6» могли заходить только на сервер «S6» и т.д.

д) Составить документацию в виде внутренней WIKI страницы, по которой

можно будет подключать новые серверы для аутентификации клиентов по SSH

через LDAP