tuo*_*alo 7 linux ssh single-sign-on
我正在寻找一种干净的方式来集中用户管理。设置:
要求(希望和期望):
管理员可以在一个地方管理用户帐户、密码和每个用户有权访问的机器列表。(可能还有团体。)不必花哨。
SSH 单点登录:用户应该能够从机器 A 登录到机器 B,而无需重新输入他/她的密码。
快速 Google 搜索为我提供了指向 OpenLDAP 和 Kerberos 的指针,但我不确定从哪里开始以及每个解决方案实际解决什么问题。走哪条路?我很想找到一个专注于这个主题的清晰教程。(或者:我问的是“错误的问题”吗?)
Google 已引导您走上正轨。理想情况下,您既需要 LDAP 用于中央用户管理,又需要 Kerberos 用于增加安全性和 SSO。
仅 LDAP 就可以让您集中管理用户,但用户仍然必须对他们连接的每项服务重新进行身份验证。这就是 Kerberos 的用武之地,它向客户端发出票证,一旦用户通过身份验证,该票证就授予用户访问其他服务的权限。
对于 Kerberos,您需要一个稳定的同步时间源。因此,我将从正确设置 NTP、DHCP 和 DNS 开始。然后配置您的客户端工作站以从 DHCP 获取它们的 NTP。一旦你知道你有一个稳定的时间源,你就可以设置 LDAP 和 Kerberos 服务器来提供必要的目录服务来将它们组合在一起。