我希望通过SSH,Web(理想情况下包括SSL,可select使用客户端证书或密码进行身份validation,就像他们在MIT所做的那样)以及任何应用程序想要使用的身份validation。
Kerberos似乎最适合我想要的,但工具支持似乎令人惊讶的差。
这些日子人们用什么?
一个可以考虑的select是LDAP。 密码方面,它适用于SSH和网页。 也有用于存储证书的LDAP模式,所以它可以被用来进行基于证书的authentication(但是我从来没有在实践中看到过,所以它不是很难就是罕见,或者两者兼有:)
LDAP有一大堆工具的好处,从“我要割裂手腕! 到“这不可怕”,所以你应该可以find你喜欢的一个(或者至less不讨厌:)。
一个LDAP的缺点:据我所知,通过集中pipe理(“在LDAP中”)进行身份validation的唯一方法是SSH公钥是对openssh应用一个补丁,所以你仍然坚持在每个地方分发authorized_keys文件。
我同意voretaq7,但也请考虑LDAP服务器将身份validation传递给Kerberos服务器的解决scheme。
LDAP可用于存储用户详细信息,也可用于不支持Kerberos的工具(如PHP)的authentication。
Kerberos允许使用半密码SSH和LDAP(以及其他)身份validation。 您可以获得一个Kerberos票据(例如通过SSH连接到主机),然后不会再次询问您的密码进入另一台主机或使用ldapmodify。
这是Active Directory如何在内部工作的。 Kerberos用于authentication,LDAP用作用户数据库。