具体来说,运行一系列 postfix , dovecot 和 nginx ,为(不是那么多)用户提供“不错”的邮件服务。所有服务共享Pluggable authentication module (PAM)作为可能的身份验证方法。目前,系统的“passwd”数据库正被用于通过PAM再次授权。
AWS Identity and Access Management (IAM)是一项艰难的要求。因此,任何其他服务(如 duosecurity )都不是一种选择。在我开始编写PAM模块之前,我要求你的经验 - 你会怎么做?谢谢!
答案 0 :(得分:7)
这可能不是您正在寻找的,但肯定有资格作为使用IAM作为PAM 的身份验证“方法”的方式:
Denis Mikhalkin(denismo)aws-iam-ldap-bridge 定期使用AWS IAM 中的用户,组和角色填充LDAP目录位置,这将允许使用libpam-ldap or libpam-ldapd和从而使用他们的AWS IAM密钥作为密码隐式地认证Linux用户对AWS IAM。
请注意以下相当重要的注意事项:
虽然本机IAM PAM集成会很棒(并且还支持AWS Multi-Factor Authentication (MFA)等高级用例),但我喜欢实用的方法来促进广泛使用的LDAP集成 - 我仍然宁愿选择一个解决方案理想情况下,可以与任何兼容的LDAP服务器一起使用,或者至少使用库存ApacheDS分发,以便于安装,可维护性和安全性评估。