想要一种通过 LDAP 进行 SSH 密钥身份验证的方法。
我们将 LDAP (slapd) 用于目录服务,并且我们最近转向使用我们自己的 AMI 来构建实例。AMI 位很重要的原因是,理想情况下,我们希望能够在实例运行后立即通过密钥身份验证使用 SSH 登录,而不必等待我们有点慢的配置管理工具启动要添加的脚本实例的正确密钥。
理想的情况是,在将用户添加到 LDAP 时,我们也添加了他们的密钥,他们可以立即登录。
密钥身份验证是必须的,因为基于密码的登录既不安全又麻烦。
我读过这个问题,它表明有一个名为 OpenSSH-lpk 的 OpenSSH 补丁来执行此操作,但 OpenSSH 服务器不再需要 >= 6.2
添加了 sshd_config(5) 选项 AuthorizedKeysCommand 以支持除了(或代替)从文件系统之外,还支持从命令中获取 authorized_keys。该命令在 AuthorizedKeysCommandUser sshd_config(5) 选项指定的帐户下运行
如何配置 OpenSSH 和 LDAP 来实现这一点?
是否可以从数据库而不是 authorized_keys 文件中获取公钥?
我想使用这样的设置来管理对多个用户的 git 存储库等内容的 ssh 访问,而无需在每次更改或添加公钥时重新创建 authorized_keys 文件。