我想在我们的一些服务器上设置pam_ldap,这样我们可以集中pipe理谁可以访问哪个服务器,并且如果有人离开公司,可以轻松地撤销访问。
我已经做了一些研究,并得到了这个工作。 万岁!
不过,我也希望能够使用公私钥login – 即允许用户将他们的公钥存储在LDAP目录中,并让这些login也可以login。
我找不到任何关于能够做到这一点的文件,但是我也找不到任何应该不可能的原因。 有没有办法做到这一点,还是有一些根本的原因,它不会工作?
有一个非官方的补丁openssh为此。 你可以在这里find它 。
您还可以使用configurationpipe理器(如puppet或cfengine)来pipe理和分发密钥,甚至可以将其从LDAP中提取出来。
否则,您可以启动临时CRON作业来更新LDAP中的密钥。