服务器 Gind.cn
  1. 服务器 Gind.cn
  3. Kerberos替代无密码服务器访问
Intereting Posts
仅允许来自特定IP的SSH访问是安全的吗? 系统pipe理员? 还是系统pipe理员? 用2008年的DC代替2000年的DC 将所有urlredirect到/ wp-admin和wp-json之外的根目录 IIS 6 SMTPconfiguration 无法使用rm -rf删除文件夹。 错误:设备或资源忙 AWS Route53运行状况检查状态最近发生的警报 DNS和Windows服务器首次 ZFS池或LVM卷组在使用多个分区时更可靠吗? 以编程方式获取正在运行的ec2实例的列表 如何在FreeBSD 8上部署Rails 3? 两个与Apache相同IP的SSL虚拟主机 光纤通道LUN重新扫描和QLogic Samba3 GPOselect 在Ubuntu 14.04主机上启用Centos7 LXC容器上的SELinux

Kerberos替代无密码服务器访问

我有一堆Linux服务器和三台Windows服务器2008 R2。 我需要一个解决scheme,使每个这些服务器的密码SSHlogin到所有其他人。 我可以通过在所有机器上生成密钥并将其分发到所有其他服务器来实现此目的,但此解决scheme具有较低的可扩展性。 每当我添加一个服务器,我必须分发它的关键所有服务器。 因此,我需要一个解决scheme,centralypipe理密钥和访问所有服务器。

KERBEROS是我的一种方式吗? 有谁知道Linux上的任何硅胶或更好的解决scheme? 谢谢。

Kerberos是最好的select,但你可能不想手动设置它。 它有很多移动部件,很容易出错。

相反,您应该设置一个域,并将所有计算机连接到域。

您有三个选项可用于为此环境设置域:

  • FreeIPA。 这在Linux中得到了很好的支持,特别是源自Red Hat的发行版,尽pipe在其他发行版中也是如此。 如果所有或几乎所有的电脑都运行Linux,这是您的最佳select; 而less数Windows计算机可以通过一些工作来join域。
  • 活动目录。 历史悠久的基于Windows的域控制器,如果大多数计算机运行Windows,这是您的最佳select。
  • Samba 4假装成Active Directory。 您经常会在混合环境中,或者在某些地方没有批准Windows许可的预算来设置AD。 应该仔细评估,因为它可能不支持现代function水平的所有function。

在任何情况下,Kerberos都将在下面使用。 但是您通常不必担心细节,因为它们是为您处理的。

Kerberos是最好的select。 几乎所有的Linux发行版,2000年以来的Windows,以及从10.2开始支持Mac。 如果您已经拥有现有的Windows域基础结构,则设置相对简单。 如果你这样做,只需谷歌发行的名称和版本和“kerberize”。

如果你确实下了活动目录路由,可能值得看看Centrify ,特别是免费的快速版本,使得实现无密码的SSHlogin变得非常简单。 它使用下面的Kerberos,但没有必要弄脏你的手configuration它。