SSO-подключение к серверу Ubuntu Server 14.04 LTS по протоколу SSH с помощью PuTTY с компьютера на базе Windows в домене Active Directory

Продолжая тему интеграции систем на базе Linux в доменную инфраструктуру Active Directory (AD), в этой заметке мы рассмотрим вопрос настройки Single sign-on (SSO) при подключении к Linux-серверу на базе Ubuntu Server 14.04 LTS по протоколу SSH с клиентских компьютеров под управлением Windows. Начнём с настроек на стороне Linux-сервера, который будет выступать в качестве сервера SSH на базе пакета OpenSSH (описание установки и базовой настройки рассмотрено ранее). Для начала включим поддержку GSSAPI для службы сервера OpenSSH и пропишем ограничение по группам доступа: sudo nano -Y sh /etc/ssh/sshd_config Фрагмент изменённых и добавленных строк конфигурационного файла: # GSSAPI options GSSAPIAuthentication yes GSSAPICleanupCredentials yes # User groups access contol AllowGroups adm kom-srv-linux-administrators Разрешённые группы нужно указывать через пробел. В списке могут фигурировать как локальные (для локальных пользователей) так и доменные (для доменных пользователей) группы доступа, при этом их названия должны быть указаны в нижнем регистре, так как их возвращает команда groups для текущего пользователя. Для вступления изменений в силу перезапускаем службу сервера SSH: sudo service ssh restart *** Теперь нам нужно реализовать возможность для Kerberos-подсистемы представляться разным службам от имени принципала (SPN) HOST/{ServerFQDN}@{DomainFQDN}.Посмотрим что возвращает команда: sudo net ads keytab list Warning: "kerberos method" must be set to a keytab method to use keytab functions. Vno Type Principal 3 des-cbc-crc HTTP/kom-ad01-squid.holding.com@HOLDING.COM 3 des-cbc-md5 HTTP/kom-ad01-squid.holding.com@HOLDING.COM 3 arcfour-hmac-md5 HTTP/kom-ad01-squid.holding.com@HOLDING.COM 3 aes256-cts-hmac-sha1-96 HTTP/kom-ad01-squid.holding.com@HOLDING.COM 3 aes128-cts-hmac-sha1-96 HTTP/kom-ad01-squid.holding.com@HOLDING.COM Как видно, мы получаем список ключей, которые хранятся в keytab-файле указанном в параметре default_keytab_name конфигурационного файла /etc/krb5.conf, который мы задали ранее конфигурируя систему для Squid. Однако в силу того, что дополнительно мы создавали файл /etc/default/squid3 где прописали путь к keytab-файлу необходимому для Squid, мы смело можем отключить параметр default_keytab_name конфигурационного файла /etc/krb5.conf, чтобы в системе по умолчанию использовался файл /etc/krb5.keytab. Итак, отредактируем файл krb5.conf: sudo nano -Y sh /etc/krb5.conf Закомментируем в нём ранее записанную нами строку: # default_keytab_name = /etc/squid3/PROXY.keytab ***