Аутентификация ssh без пароля с использованием активного каталога

Ответ 1

Обычно это делается с помощью сертификатов ключей SSH, чтобы сохранить характер без пароля и в то же время иметь центральный орган, которому можно доверять, чтобы создавать новые сертификаты для каждой учетной записи.

Использование LDAP/Active для входа в систему не рекомендуется - помимо использования паролей, он также становится единственной точкой отказа для доступа к любой системе, которой он управляет.

Смотрите документацию RedHat о том, как это сделать, а также Facebook хорошая запись по использованию ими аутентификации сертификатов с SSH.

Ответ 2

Мой подход заключался бы в том, чтобы свести проблему к уже разрешенному с помощью

• Используйте активный каталог для аутентификации без пароля и установления HTTPS-соединения с использованием Kerberos. Dzone Tutorial Настройка Tomcat 7 Single Sign-on с SPNEGO
• Оберните SSH в https-протокол, например, см. раздел Обертка SSH в HTTP (S) на https://unix.stackexchange.com/questions/190490/how-to-use-ssh-over-http-or-https

Ответ 3

Вариант 1

Это хорошая статья, объясняющая, как это сделать. Сохранение ключей SSH в Active Directory для упрощения развертывания

В принципе, это позволит людям публиковать свои общедоступные ключи в вашем Active Directory, а затем вы можете настроить cron script на своих серверах для получения копии открытых ключей каждые 5 минут или около того.

Вариант 2

Вы также можете использовать файловый сервер, на котором есть все ваши ключи, и получить от них каждый сервер, используя cron script. Очевидно, вам нужен способ проверить подлинность каждой клавиши, особенно если вы используете FTP или какой-либо другой небезопасный протокол. Этого можно достичь с помощью GPG. У вас может быть ключ GPG компании, который подписывает все ключи сотрудников.

Лично мне нравится вариант 2, потому что я думаю, что он более безопасен, но любой метод должен работать. Надеюсь, это поможет!