在pam-ldap的身份validation阶段是否可以将用户logging的任意ldap属性映射到生成的用户环境中?
我的情况的具体情况,如果你看到另一种解决问题的办法,我写了一个自定义的SFTP子系统映射SFTP命令到Ceph / Rados池。 我希望这个子系统使用一个与authentication用户关联的密钥连接到Ceph集群(用于控制池访问等)
我已经通过LDAPauthentication用户的ssh / sftp连接,并相信我可以locking对其ceph-key属性的读访问权限,只有root和self。 如果可能,我宁愿不使用共享LDAP绑定帐户进行另一个LDAP查找。
—更新—
虽然我还没有find一种方法来完成我在这里所要求的,但我确实有一些“工作”,它使用pam_exec.so会话模块(以root用户身份)来提取ldap属性并将其写入/run/users/<UID>/<filename>.<SESSION_ID> (chmod 400,chown <UID>:root)。 然后,自定义子系统(作为身份validation用户)读取并删除此文件。
虽然这个工作,这有没有相当的安全顾虑?