Наша текущая инфраструктура использует ssh-ключи для входа без пароля на наши серверы Linux. По мере роста нашей инфраструктуры управление этими авторизованными ключами становится все сложнее.
Поскольку у нас также есть сервер Active Directory (AD), я хотел бы аутентифицировать пользователей по ssh с использованием этого механизма, но поддерживать безсчетный характер ключей ssh.
Можно ли аутентифицировать пользователей по ssh без пароля, используя какой-либо механизм AD?
Обычно это делается с помощью сертификатов ключей SSH, чтобы сохранить характер без пароля и в то же время иметь центральный орган, которому можно доверять, чтобы создавать новые сертификаты для каждой учетной записи.
Использование LDAP/Active для входа в систему не рекомендуется - помимо использования паролей, он также становится единственной точкой отказа для доступа к любой системе, которой он управляет.
Смотрите документацию RedHat о том, как это сделать, а также Facebook хорошая запись по использованию ими аутентификации сертификатов с SSH.
Мой подход заключался бы в том, чтобы свести проблему к уже разрешенному с помощью
Вариант 1
Это хорошая статья, объясняющая, как это сделать. Сохранение ключей SSH в Active Directory для упрощения развертывания
В принципе, это позволит людям публиковать свои общедоступные ключи в вашем Active Directory, а затем вы можете настроить cron script на своих серверах для получения копии открытых ключей каждые 5 минут или около того.
Вариант 2
Вы также можете использовать файловый сервер, на котором есть все ваши ключи, и получить от них каждый сервер, используя cron script. Очевидно, вам нужен способ проверить подлинность каждой клавиши, особенно если вы используете FTP или какой-либо другой небезопасный протокол. Этого можно достичь с помощью GPG. У вас может быть ключ GPG компании, который подписывает все ключи сотрудников.
Лично мне нравится вариант 2, потому что я думаю, что он более безопасен, но любой метод должен работать. Надеюсь, это поможет!