Как активировать вход в систему администратора на основе времени в систему Linux, используя Windows Active Directory?
Вы должны иметь возможность использовать код возврата с экрана. Верно, если экраны есть, и ложно, если их нет.
screen -list >/dev/null && screen-yes
Я не думаю, что для этого есть готовое решение, так что вам придется над этим поработать.
Подключить Linux-боксы к Active Directory относительно просто, поскольку AD работает как LDAP, а Linux может аутентифицироваться по LDAP целую вечность. Есть также некоторые решения, специфичные для AD. Я бы посоветовал сначала поискать в Google «активный каталог linux sssd».
Я думаю, это то, что вы должны реализовать. Один из возможных способов :Вы можете добавлять/удалять пользователей в группы, а проверка подлинности Linux AD (предыдущий пункт )может основываться на членстве в группе.
2-й фактор может не зависеть от AD, вы можете настроить двухфакторную аутентификацию для своего Linux-бокса. Одним из (популярных )способов является использование аутентификатора Google. (Не путайте, это не связано с аккаунтами Google.)
Предотвратить новые входы в систему легко, основываясь на вашем выборе во 2-м пункте,вы можете удалить пользователя из группы после тайм-аута или чего-то подобного. Но я не знаю, как завершить уже запущенные сеансы... Может быть, вы можете реализовать простую службу, которая убивает все пользовательские процессы на основе некоторого условия (снова членство в группе AD?)
Вы можете выпустить временные сертификаты OpenSSH для реализации ограниченного по времени -входа в SSH. Существуют различные веб-страницы, описывающие, как это сделать с помощью инструмента ssh -keygen . Пользователь будет аутентифицироваться в веб-службе, и ЦС SSH -выдаст сертификат OpenSSH (, а не X.509 ), действительный в течение нескольких часов или дней.
Я также реализовал такой компонент SSH -CA для клиента в виде простой веб-службы без состояния -, доступ к которой осуществляется с помощью небольшого скрипта Python на стороне клиента -.
Но это только предотвращает -повторный вход пользователей с этим ключом после истечения срока действия сертификата. Хитрость заключается в том, чтобы надежно отключить активные пользовательские сеансы по истечении этого времени. Особенно вам следует уточнить, действительно ли вы хотите это сделать или просто отслеживаете и предупреждаете о длительных -сеансах SSH.