中央身份验证的最佳解决方案是什么?
我希望集中存储所有用户信息,并将其用于 SSH 访问和其他服务。我还希望我们的用户能够使用同一个身份验证服务器在他们的机器(主要是 Mac)上进行身份验证。
目前我们使用带公钥的 SSH,但每个用户都会生成自己的密钥,并自行将其添加到我们的服务器上。当我们有新员工或其他人离职时,这会变得难以管理。
但是我需要无密码身份验证,因为我不相信用户会创建自己的密码。
除了 LDAP 之外,还有哪些其他选项?我们所有的服务器都运行某种版本的 Linux。
谢谢
答案1
在这种情况下,您可以使用 LDAP 来验证您的 Mac 机箱以及集中存储您的公钥。不过,要获得公钥存储,您可能需要根据您使用的操作系统/发行版编译自己的 OpenSSH 包。 OpenSSH 基本功能包
答案2
如果您实施 NFS 共享主目录,则每个用户的密钥只需部署一次。将其与标准 LDAP 和/或 Kerberos 身份验证/授权相结合,您将拥有一个稳定、易于维护的系统。
答案3
您应该考虑设置一个受双因素身份验证保护的 SSH 网关盒。让所有用户都通过它,但允许他们使用那里的密钥。使用 PAM 来要求 2FA(或密码,但听起来您有足够的安全意识来看到 2FA 的好处)。这里有一个可以指导您的文档。无论您选择哪种方式都应该有帮助: http://www.howtoforge.net/secure_ssh_with_wikid_two_factor_authentication