是否有可能设置ssh和活动目录(Win2008r2的味道),使得域用户可以访问* nix和ssh-servers-running-on-Windows服务器而无需input密码?
如果是这样,怎么样?
我发现一些文件表明它(或类似的东西)是可能的,通过修改AD模式为公共密钥腾出空间。
但是,大多数概念本身对我来说都是新的,因为我真的是一个开发人员在开发团队中伪装成系统pipe理员。
上下文:我们有一些Windows盒子和一些* nix盒子,我们希望在连续部署types的情况下在这两套机器上运行一些远程pipe理自动化,以及一个特别的中央维护放置types的场景。
我已经尝试了与你一样的事情 ,特别是试图用相同的工具集pipe理Linux和Windows,并且发现除了痛苦和沮丧之外。 这两者在设置,前景和devise方面的假设非常不同,以至于在一个平台(SSH,PowerShell)上运行良好的工具在另一个平台(是的,存在用于Linux的PowerShell ,用Mono编写)上是丑陋而脆弱的黑客。 脆弱性已经迫使我们在Windows和Linux系统上使用两个独立的部署系统。 我不知道任何现有的工具都可以做到这一点,但是我知道一对正在努力尝试的夫妇( 厨师和 木偶都被报道正在制定一个这样的大统一pipe理框架, 厨师已经交付 )。
我的build议,特别是因为你似乎是一个Linux的第一个组织,看看你可以find什么样的钩子访问Windows远程pipe理框架 (“winrm”是关键字)。 它在基础上通过HTTP进行kerberized SOAP调用,所以在远程系统上比在Windows机器上安装SSH服务器要容易得多。 Ruby有一个gem可以做到 。 WinRM很有意思,因为它是微软指定的“在远程机器上运行命令”框架,这就是你正在试图使用SSH,并理论上提供cmd.exe或PowerShell作为命令解释器。
我有一个间接为我的一些系统实现相同目的的设置。 目标系统的SSH访问只能通过公钥/私钥。 密钥存储在networking共享中,只有被允许访问的人才能访问。 这种简单而粗糙的,但相当有效。 当然,没有任何事情可以阻止授权用户复制密钥,但只有可信用户才能访问。
这样做的另一种方式是我这样做的方式是与桑巴结合winbind将系统添加到aduc和使用kerberos单一loginon.I几个指南,如果你是我感兴趣。