那些遇到过的问题

使用活动目录的无密码ssh身份验证

Shy*_*rka 12 ssh kerberos active-directory ssh-keys

我们当前的基础架构使用ssh密钥无密码登录我们的Linux服务器.随着我们的基础架构的发展,管理这些授权密钥变得更加困难.

由于我们还有一个Active Directory(AD)服务器,我想使用这种机制通过ssh对用户进行身份验证,但是要保持ssh密钥的无密码性质.

是否可以使用某些AD机制通过ssh在没有密码的情况下对用户进行身份验证?

dan*_*nny 5

这通常通过SSH密钥证书来完成,以保持无密码的性质,同时具有可信任的中央权限,以便为每个帐户生成新证书.

不建议在登录时使用LDAP/Active目录 - 除了必须使用密码之外,访问它管理的任何系统也会成为单点故障.

请参阅RedHat文档,了解如何执行此操作,以及Facebook对使用SSH进行证书身份验证的良好记录.

  • 第二段有一些逻辑错误。CA 的 SPOF 不亚于 AD。这就是权威服务的本质。这就是您通常将它们部署在集群中的原因。 (2认同)

B--*_*ian 2

我的方法是将问题减少到已经解决的问题

  1. 使用活动目录进行身份验证,无需密码,并使用 Kerberos 建立 HTTPS 连接。Dzone教程使用 SPNEGO 配置 Tomcat 7 单点登录可能是该方法的一个很好的起点。
  2. 将 SSH 封装到 https 协议中,请参阅https://unix.stackexchange.com/questions/190490/how-to-use-ssh-over-http-or-httpsSSH 封装到 HTTP(S)部分

归档时间:

查看次数:

6041 次

最近记录:

6 年,9 月 前
相关归档
在python shell中按箭头键时看到转义字符 175
sign_and_send_pubkey:签名失败:代理拒绝操作 69
使用Windows身份验证时获取Active Directory信息? 13
如何在 Windows 10 docker 桌面中访问 /var/lib/docker? 12
Android studio git使用私钥 11
在windows下生成有效的openssh ssh密钥 9
Active Directory查询用户名,名字,姓氏和电子邮件 7
通过活动目录Winform用户授权 7
可以在Windows上的putty中使用linux ssh私钥文件吗? 6
网络丢失时保持程序在 ssh 中运行 4
难疑归档
"px","dip","dp"和"sp"之间有什么区别? 5676
我应该在MySQL中使用日期时间或时间戳数据类型吗? 2598
C#的正确版本号是多少? 2422
运算符重载的基本规则和习惯用法是什么? 2074
在GitHub上使用https://时有没有办法跳过密码输入? 1806
删除包含特定字符串的文本文件中的行 1670
漂亮的git分支图 1290
检查值是否是JavaScript中的对象 1194
更改列:null为非null 1177
网格布局上的手势检测 1076