Управление групповыми политиками OpenSSH
Назначение групповых политик OpenSSH — загрузка и применения настроек OpenSSH на клиентских машинах под управлением ОС Linux.
Настройки, применяемые в рамках данных политик, хранятся в файле MACHINE/VGP/VTLA/SshCfg/SshD/manifest.xml (могут быть отредактированы в любом текстовом редакторе) в подкаталоге соответствующего объекта GPO в SysVol.
Серверное расширение (SSE) администрируется с помощью группы подкоманд samba-tool gpo manage openssh. В GPME оно недоступно.
Клиентское расширение (CSE) создает новый файл с настройками в /etc/ssh/sshd_config.d.
Добавление групповой политики OpenSSH
Для задания настроек OpenSSH с помощью групповой политики используется следующий формат вызова:
samba-tool gpo manage openssh <gpo> <setting> [value] [options]
В качестве значения gpo ожидается GUID требуемого объекта групповой политики. Для получения GUID может использоваться подкоманда samba-tool gpo listall.
Для установки определенного значения укажите его (value) после названия настройки (setting). Чтобы сбросить установленное ранее значение, передайте только название настройки без значения (см. список доступных настроек man sshd_config).
Параметры
Параметры вызова:
-
-H URL|--URL=URL— URL сервера LDAP; может содержать указание на протокол, имя хоста и номер порта.
Примеры
Пример задания настройки OpenSSH с помощью групповой политики:
-
Задайте требуемое значение для настройки:
samba-tool gpo manage openssh set \ {31B2F340-016D-11D2-945F-00C04FB984F9} \ KerberosAuthentication Yes \ -U Administrator -
Для проверки доступности политики на клиентской машине с ОС Linux — участнике домена выполните:
sudo /app/inno-samba/sbin/samba-gpupdate --rsop Resultant Set of Policy Computer Policy GPO: Default Domain Policy ================================================================= CSE: vgp_openssh_ext ----------------------------------------------------------- Policy Type: VGP/Unix Settings/OpenSSH ----------------------------------------------------------- [ KerberosAuthentication ] = Yes ----------------------------------------------------------- ----------------------------------------------------------- ================================================================= -
Обновите политики на клиентской машине:
sudo /app/inno-samba/sbin/samba-gpupdate --force
-
В каталоге /etc/ssh/sshd_config.d/ создан файл, содержащий требуемую настройку:
### autogenerated by samba # # This file is generated by the vgp_openssh_ext Group Policy # Client Side Extension. To modify the contents of this file, # modify the appropriate Group Policy objects which apply # to this machine. DO NOT MODIFY THIS FILE DIRECTLY. # KerberosAuthentication Yes
Получение информации о групповой политике OpenSSH
Для получения информации о настройках групповой политики OpenSSH в SysVol используется следующий формат вызова:
samba-tool gpo manage openssh list <gpo> [options]
В качестве значения gpo ожидается GUID требуемого объекта групповой политики. Для получения GUID может использоваться подкоманда samba-tool gpo listall.
Подкоманда выводит задаваемые политикой настройки OpenSSH.