我在我的Ubuntu Linux上有一个案例16.04服务器,我需要您的帮助:
当前方案
- 有效的AD用户通过SSH登录到Ubuntu Linux服务器
- 该用户将其公共密钥添加到〜/.ssh/eleteriped_keys for tospessions login
- 我禁用/锁定/删除广告用户,以防止他登录
- 用户仍然能够登录服务器,因为他的公钥仍然存在!
预期方案:如果我禁用/锁定/删除用户的广告帐户(或他的广告密码到期),他也不应该使用其广告帐户登录任何服务器,即使他的公钥安装在那里。
我有数百台服务器,很难跟踪所有已安装的公共钥匙。
为此提供任何解决方案或解决方案,而无需完全禁用PKI?
注意:我使用pbis打开将我的Linux服务器连接到广告域。
解决方案是将其添加到/etc/ssh/sshd_config:
authenticationMethods" publicKey,password" publicKey,键盘相互作用"
这将需要公钥,然后要求用户输入其广告密码。