LDAP SSH + PubKey 身份验证后备

LDAP SSH + PubKey 身份验证后备

我已遵循此指南:https://github.com/jirutka/ssh-ldap-pubkey 为了设置一个 LDAP 服务器,允许验证需要密码和公钥才能登录。

虽然这一切看起来是个好主意,但每次有人登录时,ssh 服务器都会运行这个脚本(如指南中所述)

AuthorizedKeysCommand /usr/bin/ssh-ldap-pubkey-wrapper

这将调用我的 LDAP 服务器并尝试检索当前用户的公钥。我想知道如果 LDAP 服务器因任何原因无法访问,我如何拥有一个后备系统。我已经考虑过使用第二个 LDAP 服务器来实现冗余,但我想知道如何在本地解决这个问题

附言:使用CentOS 6.6

答案1

在我工作的环境中,至少有两台 LDAP 服务器在运行,以防止您当前正在考虑的问题。因此,如果可能的话,请设置第二台 LDAP 服务器,最好在与第一台不同的物理主机上。

此外,你可以检查是否值得实施名称服务缓存守护进程 (nscd),即

为最常见的名称服务请求提供缓存的守护进程。

(不确定这是否适用于 SSH 密钥,但你会发现。)2.2.2.3. NSCD configuration在本教程中,你会发现一个小的操作指南。

另外,你可以看看系统安全服务守护进程 sssd,即

系统守护进程。其主要功能是通过可以为系统提供缓存和离线支持的通用框架提供对身份和身份验证远程资源的访问。

(在我看来,这是更现代的做法nscd。)
看看有关配置的一些一般说明CentOS,以及有关 SSH 密钥的具体信息。

相关内容