用于无密码服务器访问的 Kerberos 替代方案

Question

我有一堆 Linux 服务器和三台 Windows 服务器 2008 R2。我需要一个解决方案，能够实现从每台服务器到所有其他服务器的无密码 SSH 登录。我可以通过在所有计算机上生成密钥并将它们分发到所有其他服务器来实现此目的，但此解决方案的可扩展性较低。每当我添加服务器时，我都必须将其密钥分发给所有服务器。因此，我需要一个解决方案来集中管理密钥和对所有服务器的访问。

KERBEROS 适合我吗？有谁知道 Linux 上有类似或更好的解决方案吗？谢谢。

Answer 1

Kerberos 是最好的选择，但您可能不想手动设置它。它有很多活动部件，很容易出错。

相反，您应该设置一个域并将所有计算机加入该域。

您可以通过三个选项为此环境设置域：

• 免费IPA。这在 Linux 中得到了很好的支持，尤其是 Red Hat 派生的发行版，尽管它在其他发行版中也可用。如果所有或几乎所有计算机都运行 Linux，这是您的最佳选择；只需做一点工作就可以让少数 Windows 计算机加入域。
• 活动目录。久负盛名的基于 Windows 的域控制器，如果大多数计算机都运行 Windows，那么它是您的最佳选择。
• FreeIPA和 Active Directory。如果您有混合环境，您可能希望运行 FreeIPA 来管理您的 Linux 系统，并运行 Active Directory 来管理您的 Windows 系统，并在它们之间建立适当的跨域信任。
• Samba 4 伪装成 Active Directory。您经常会在混合环境中或在有人不批准用于设置 AD 的 Windows 许可证预算的地方看到这种情况。应仔细评估它，因为它可能不支持现代 AD 功能级别的所有功能。

在所有情况下，Kerberos 都将在底层使用；但您通常不必担心细节，因为它们会为您处理。