这是一个“这肯定已经存在了,如果不存在,我最好把它建起来!”的时刻。
我的问题如下:我管理着一个开发团队,大约有 10 个人。我们每个人都有自己的私钥。当我为我们设置新服务器时,我必须将他们的所有密钥导入其中。如果我们开始与承包商合作,我也必须获取他或她的密钥,然后将其导入并放置在.ssh/authorized_keys服务器上。
理想情况下,我希望能够做类似的事情:
import_key allegroconmolto
然后它会联系一个公共密钥库,查看是否有名为 allegroconmolto 的用户,如果有,则导入他们的密钥并将其添加到我的 authorized_keys 中。然后添加未来的用户就变得非常简单,只需为他们运行 import_key 即可。然后我可以将 authorized_keys 文件 scp 到我的所有服务器,就大功告成了!
这看起来太明显了,我觉得它肯定存在于某个地方。
答案1
LDAP 服务器通常用于此目的 - 您指示您信任哪个 ldap 服务器以及您信任哪些实体...然后您的服务器服务根据需要在服务器中查找凭据。在您的十几个用户场景中,这可能比它值得付出的努力更多。一个简单的 shell 脚本将新密钥添加到正确的文件(authrized_keys 某处)可能是最好的 -> 当然,该 shell 脚本很敏感...在我看来,cat < emailedPublicKey >> 某处/authorized_keys 是您规模的合理解决方案。
如果你确实想要 LDAP 路由,这些将帮助你:
- 可靠的 LDAP 服务器(据 IIRC 最初基于 UMich slapd):http://openldap.org
- 用户证书的属性(不要忽略“;二进制”限定符!:usercertificate;binary
- 通过 LDAP 进行身份验证的简介:http://quark.humbug.org.au/publications/ldap/system_auth/sage-au/system_auth.html
请注意,您无法摆脱管理信任的问题,因为您仍然必须指出您信任谁或如何确定您信任谁,因为您必须定义到第三方服务器的映射或维护您自己的服务器。