我是一个新手,当涉及到双因素authentication。 我有一个在单个服务器上实现双因素身份validation的总体思路。 但是我想知道是否有一个标准的解决scheme在多台服务器上实现它。
场景:
所以,有一些* nix机器(大约50),我想要启用双因素authentication。 如果我在所有机器上使用google authenticator( https://www.digitalocean.com/community/tutorials/how-to-protect-ssh-with-two-factor-authentication )启用2因子sshauthentication,像一个好主意来生成和跟踪个人授权码。 有什么办法可以简化整个过程。
EX:
有没有一种方法,我可以使用两个因子SSH身份validation一次,并将其与我的SSH请求转发给所有机器? 就像一个代理机器可以处理我的堆栈其余部分的OAuth? 还有现有的系统/软件/服务,可以使实施更容易? 我也接受新的build筑devise。
提前致谢!
PS:
我们目前正在所有机器上使用基于ssh-key的authentication
如果您的主要目标是进行一次身份validation,并且无需重新进行身份validation即可访问您的所有计算机,则可以使用跳转主机中的基于主机密钥的身份validation: https : //www.digitalocean.com/community/tutorials/如何configuration基于SSH密钥的身份validation的Linux服务器 。
(道歉,如果你已经知道这个选项。)
如果你有孤立的networking(没有人可以使用你的子网),你可以禁止所有机器的公共SSH访问(让我们称之为私人机器),除了一两台机器(公共机器)。
公共机器有两个因素authentication。
私人机器没有双重authentication。 私人计算机SSH端口只能从某个IP(例如您的子网或公共机器IP)访问。
这种方式通常是在AWS环境中使用公私网子进行的。 仅具有专用IP的实例只能从具有公共访问权限的实例访问。
所以,每当你想访问你的私人机器,你需要先login到公共机器。 然后,从那里,你可以login到任何机器。