中央authentication最好的解决scheme是什么?
我想集中存储所有用户,并将其用于SSH访问和其他服务。 我也希望我们的用户能够使用相同的身份validation服务器在他们的机器(主要是mac)上进行身份validation。
目前我们使用SSH与公共密钥,但每个用户生成自己的密钥,他们自己添加到我们的服务器上。 当新员工或其他人离开时,这变得难以pipe理。
我需要无密码身份validation,因为我不相信用户创build自己的密码。
还有什么其他的select,除了LDAP? 我们所有的服务器都运行着一些Linux的风格。
谢谢
在这种情况下,您可以使用LDAP来validation您的Mac机箱,以及集中存储您的公钥。 虽然要获得公钥存储,您可能需要编译自己的OpenSSH包,具体取决于您的OS /发行版。 OpenSSH LPK
如果你实现NFS共享家庭,每个用户的密钥只需要部署一次。 将它与标准的LDAP和/或Kerberosauthentication/授权相结合,你就有了一个稳定,易于维护的系统。
您应该考虑设置受双因素身份validation保护的SSH网关盒。 让所有的用户通过它,但允许他们从那里使用密钥。 使用PAM来请求2FA(或密码,但听起来像是你有安全意识,足以看到2FA的好处)。 这里有一个可以指导你的文档。 无论你走哪条路都应该有所帮助: http : //www.howtoforge.net/secure_ssh_with_wikid_two_factor_authentication