具体来说,运行一系列postfix、dovecot和nginx来为(不是很多)用户提供“不错的”邮件服务。所有服务共享可插入身份验证模块 (PAM)作为可能的身份验证方法。目前,系统的“passwd”数据库正用于通过 PAM 再次进行身份验证。
AWS Identity and Access Management (IAM)是一项硬性要求。因此,任何其他服务(如duosecurity)都不是一种选择。在我开始编写 PAM 模块之前,我想问问你的经验——你会怎么做?谢谢!
问问题
4778 次
1 回答
7
这可能不是您要寻找的,但肯定有资格使用 IAM 作为 PAM 的身份验证“方法”:
Denis Mikhalkin (denismo) 的aws-iam-ldap-bridge 定期使用来自 AWS IAM 的用户、组和角色填充 LDAP 目录位置,这反过来将允许使用libpam-ldap 或 libpam-ldapd,从而隐式地对 Linux 进行身份验证用户使用他们的 AWS IAM 密钥作为密码来对抗 AWS IAM。
请注意以下相当重要的警告:
- 目前,该插件需要自定义版本的 ApacheDS,因此不太可能手动配置- 请参阅配置现有的 ApacheDS LDAP 服务器
- 默认配置是不安全的,但是您可以根据自己的要求随意更改- 请参阅安全说明
个人评估
虽然原生 IAM PAM 集成会很棒(并且还支持AWS Multi-Factor Authentication (MFA)等高级用例),但我喜欢实用的方法来促进广泛使用的 LDAP 集成 - 但我仍然肯定更喜欢这样的解决方案理想情况下可与任何兼容的 LDAP 服务器一起使用,或者至少与库存的ApacheDS发行版一起使用,以简化安装、可维护性和安全评估。
于 2013-08-20T21:42:11.867 回答