具体来说,运行一系列postfix,dovecot和nginx为(不是那么多)用户提供"nice"邮件服务 . 所有服务共享Pluggable authentication module (PAM)作为可能的身份验证方法 . 目前,系统的"passwd"数据库正用于通过PAM再次授权 .
AWS Identity and Access Management (IAM)是一项艰难的要求 . 因此,任何其他服务(如duosecurity)都不是一种选择 . 在我开始编写PAM模块之前,我要求你的经验 - 你会怎么做?谢谢!
1 回答
这可能不是您正在寻找的,但肯定有资格作为使用IAM作为PAM的身份验证“方法”的方法:
Denis Mikhalkin(denismo)aws-iam-ldap-bridge定期使用AWS IAM中的用户,组和角色填充LDAP目录位置,这将允许使用libpam-ldap or libpam-ldapd,从而使用AWS IAM密钥作为密码隐式地对Linux用户进行AWS IAM身份验证 .
请注意以下相当重要的注意事项:
目前,该插件需要自定义版本的ApacheDS,因此不太可能进行手动配置 - 请参阅Configuring an existing ApacheDS LDAP server
默认配置为INSECURE,但您可以根据自己的要求自由更改 - 请参阅Security notes
个人评估
虽然本机IAM PAM集成会很棒(并且还支持高级用例,如AWS Multi-Factor Authentication (MFA)),但我喜欢实用的方法来促进广泛使用的LDAP集成 - 我仍然宁愿选择理想情况下适用于任何兼容LDAP服务器的解决方案,或至少与股票分配,以便于安装,可维护性和安全性评估 .