带有第三方用户管理系统的SFTP服务器?

带有第三方用户管理系统的SFTP服务器?

我了解如何在 Linux 上设置 SFTP 服务器并手动创建用户及其密码。

所以基本上,用户通过身份验证就像普通 Linux 用户通过/etc/passwd.有没有办法引入第三方进行用户和凭据管理?

我正在 Google Kubernetes Engine 上设置服务器。我看到AWS提供了SFTP 作为服务我想在 GCP 上实现类似的目标。

以下是 AWS 正在做的事情: 在此输入图像描述

AFAIK,除了 AWS IAM 和 Amazon Route S3(第 3 点)之外,上图中的所有内容(1,2 和 4)均已就位。

我给出的 AWS 参考只是作为示例。我正在寻找一种使用第三方来管理我的 SFTP 用户和凭据的方法,而不是通常使用/etc/passwd.

有 okta、gsuite、Google Cloud Identity 等可用工具。但我不确定如何利用它们来管理 SFTP 服务器中的用户。

答案1

SFTP 通常会进入 PAM(可插入身份验证模块)。您的开箱即用的 PAM 配置可能只是看看而已/etc/passwd,但是有一些 PAM 模块可以根据 LDAP 或 Kerberos (Active Directory) 进行身份验证。还有 sssd,一个来自 RedHat 世界的身份管理守护进程,它可以查看 LDAP 和/或 Kerberos,从那里获取公钥,缓存凭证,以防 LDAP 消失几分钟等。无论哪种方式,使用 LDAP/ Kerberos 您的用户凭据不在您的 SFTP 服务器上。 PAM 还具有在首次登录时自动生成主目录的模块。

答案2

OpenSSH,带来 sftp 的套件,支持GSAPI,它定义了您正在寻找的机制。克雷贝罗斯可以作为一个实现。LDAP将是您可以采取的另一种方法。

答案3

使用 SFTP 服务器运行 EC2 比使用 AWS 的 SFTP 服务更具成本效益。此外,并非每个应用程序都支持使用基于密钥的身份验证。

相关内容