具体来说,运行postfix、dovecot和nginx的链,为(不那么多)用户提供"不错"的邮件服务。所有服务共享Pluggable身份验证模块(PAM)作为一种可能的身份验证方法。目前,系统的"passwd"数据库正用于通过PAM再次进行身份验证。
AWS身份和访问管理(IAM)是一项硬性要求。因此,任何其他服务(如duosecurity)都不是一个选项。在我开始编写PAM模块的代码之前,我想请教一下您的经验——您会怎么做?谢谢
这可能不是您想要的,但肯定是使用IAM作为PAM身份验证"方法"的方式:
Denis Mikhalkin(denismo)的aws-iam-ldap桥定期使用aws iam的用户、组和角色填充ldap目录位置,这将反过来允许使用libpam-ldap或libpam-ldapd,从而使用他们的aws iam密钥作为密码隐式地对Linux用户进行针对aws iam的身份验证
请注意以下相当重要的注意事项:
- 目前,该插件需要自定义版本的ApacheDS,因此不太可能手动配置-请参阅配置现有的ApacheDS LDAP服务器
- 默认配置是INSECURE,但您可以根据自己的要求随意更改-请参阅安全说明
个人评估
虽然本地IAM PAM集成会很好(也可以实现AWS Multi-Factor Authentication(MFA)等高级用例),但我喜欢这种务实的方法来促进广泛使用的LDAP集成——尽管如此,我肯定更喜欢一种理想地与任何兼容的LDAP服务器配合使用的解决方案,或者至少与股票ApacheDS发行版配合使用,以便于安装,可维护性和安全性评估。