假设多台具有类 Unix 操作系统的计算机连接到一台服务器,例如运行 LDAP。它的数据库包含许多用户:其中之一是testuser.这样就testuser可以进行登录了任何具有相同凭据的机器。
假设现在已经testuser成功登录host1。是否可以使此登录对域中的所有其他主机也有效,以便当testuser尝试登录它们时,他已经通过了身份验证?
这应该大致按以下方式工作:属于该域的每台计算机都是受信任的。当用户登录一台机器时,会检查他/她是否已经登录过该域的另一台机器;如果否,则需要密码(或密钥);如果是,用户也会在当前机器上自动进行身份验证。
计划9提供类似的东西。是否可以通过类 Unix 操作系统获得此功能?
编辑:由登录我的意思是成功访问系统 shell 或 GUI。登录可以通过远程方式进行ssh,也可以通过键盘在本地进行。身份验证方法应该是本地访问的密码、密码或密钥ssh。我总是会考虑使用 PAM。
答案1
当使用 Kerberos 作为 SSO 协议时: 如果用户登录到他/她的工作站,则会在用户会话(例如文件)中存储一个票证授予票证 (TGT)。通过此 TGT,用户可以获得用于访问其他“kerberized”服务(例如 SSH 服务器)的服务票证。
这假设您的安全策略允许使用通用帐户访问所有系统。