Comment utiliser un shell de connexion non par défaut pour la connexion ssh

Je travaille actuellement dans un réseau qui utilise LDAP pour l'authentification. Ayant défini zshmon shell de connexion, j'ai rencontré un problème d'accès à distance sshà l'une des machines du réseau qui, apparemment, n'a pas été zshinstallée. La connexion échoue avec

Dec 8 19:16:11 abert sshd[20649]: User sorokine not allowed because shell /bin/zsh does not exist

La question est donc la suivante: comment dire à la machine distante d'utiliser un shell de connexion différent de celui qui a été configuré dans LDAP?

OpenSSH_6.0p1 Debian-4 + deb7u2, OpenSSL 1.0.1e

Si votre shell de connexion ne peut pas être exécuté sur une machine, vous ne pouvez pas vous y connecter via SSH, ou par la plupart des autres méthodes d'ailleurs. Le serveur SSH exécute toujours votre shell de connexion. Si vous passez une commande sur la sshligne de commande, le shell de connexion est exécuté avec -cet la chaîne de commande¹ comme arguments; sinon, le shell de connexion est exécuté comme un shell de connexion sans argument.

S'il y avait un moyen de contourner le shell de connexion, ce serait un trou de sécurité. Un compte peut être configuré comme un compte restreint en faisant de son shell de connexion un programme qui n'effectue qu'une seule tâche spécifique; par exemple, le shell de connexion pourrait être git-shellde n'autoriser que l'accès à un référentiel git, ou rssh, etc.

Pour vous connecter à cette machine, vous devrez soit vous organiser pour /bin/zshêtre présent, soit changer votre shell de connexion en quelque chose qui est présent.

Ce que je recommande dans un environnement hétérogène comme celui-ci, c'est de s'en tenir à /bin/shvotre shell de connexion, car il est présent partout. Définissez la SHELLvariable d'environnement sur /bin/zshsi elle est présente, de cette façon vous obtiendrez zsh comme un shell interactif.

if [ -x /bin/zsh ]; then
  export SHELL=/bin/zsh
fi

Pendant que vous y êtes, cela vous permet d'éviter de coder en dur le chemin vers zsh.

if SHELL=$(command -v zsh); then
  export SHELL
else
  unset SHELL
fi

Pour que zsh s'exécute automatiquement pour une connexion en mode texte, appelez-le depuis votre .profile. Si vous souhaitez utiliser .zprofilepour configurer les choses, faites-en un shell de connexion (mais vous n'obtiendrez pas le même environnement sur les machines où zsh n'est pas présent, donc je ne le recommande pas). Ne faites cela que s'il s'agit d'une connexion interactive, pas lorsque votre .profileest exécuté par un script, pendant la connexion en mode GUI, etc.

if case $- in *i*) true;; *) false;; esac &&  # interactive shell
   [ -z "$ZSH_VERSION" ] &&                   # not running zsh yet
   type zsh >/dev/null 2>/dev/null; then      # zsh is present
  exec zsh
fi

¹ _{Le client SSH concatène ses arguments sans option avec des espaces entre les deux et envoie la chaîne résultante via la connexion. Les protocoles SSH définissent la commande comme une chaîne, pas une liste de chaînes.}

Vous devez éther installer le shell sur la machine spécifiée si vous avez un accès différent ou le demander à un administrateur de le faire pour vous ou changer votre shell dans ldap en un shell qui existe sur la machine distante.

(open) sshd vérifiera toujours le shell utilisateur et exécutera toujours ce shell tout ce qui est passé à exécuter. Si un autre shell est passé pour s'exécuter, il l'exécutera en le passant en argument au shell utilisateur, par exemple le shell utilisateur est '/ bin / sh' et vous passez en argument un shell csh qu'il exécutera "/ bin / sh -c / bin / csh '.