VPN 身份验证详细信息可以重新用于 SSH 访问吗?
背景:我正在研究使用 SSO 通过 VPN 进行身份验证然后能够通过 SSH 登录服务器而无需重新提供凭据的可行性。
因此,不需要为 SSH 设置单独的密钥/密码,而是使用通过 VPN 进行身份验证的凭据。
假设用户已通过 VPN 身份验证,他们是否可以执行 SSH 登录而无需重新进行身份验证(使用 VPN 身份验证作为 SSO)。
此时,我正在评估可行性,而不是是否推荐。
答案1
如果没有关于您使用的解决方案的更多详细信息,很难准确回答您的问题,但一般来说您可以这样做。通常您的 VPN 服务器和 SSH 服务器指向某个外部身份验证目录并通过 Radius 与其通信,因此您可以对两者使用同一个目录。
然而,在大多数情况下,我发现VPN 身份验证往往比标准 SSH 访问更严格(尽管后者通常确实需要更高的安全性),即需要某种双因素身份验证,因此尽管您可能使用相同的底层凭据,但连接程序仍然会略有不同,可能是将密码与某种令牌代码连接起来。
编辑:添加了评论详细信息,这意味着这已被标记为(当前)接受的答案:
好吧,我误解了原来的问题。您可能想看看使用 Kerberos 之类的东西的可能性。可以使用它进行透明的 SSH 身份验证(例如,请参见此处: blog.scottlowe.org/2006/08/21/…;. 说实话,我不知道您是否可以让它与您的 VPN 身份验证无缝协作,这可能取决于您使用的产品。可能使用诸如约束委派之类的东西?