ssh key authentication

Разговоры ни о чём

Модератор: vadim64

Аватара пользователя
squid
лейтенант
Сообщения: 683
Зарегистрирован: 2007-05-25 11:32:23
Откуда: Украина, Киев
Контактная информация:

ssh key authentication

Непрочитанное сообщение squid » 2009-08-19 11:25:32

Привет
есть ли возможность хранить ключи в одном месте, а не в .ssh/authorized_keys на каждом сервере у каждого пользователя
просто при смене должности/уволнении появляется вопрос, как централизовано закрыть/сменить доступ, не будешь же смотреть на каждом сервере есть ли у него ключ или нет ?
хех..

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35189
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: ssh key authentication

Непрочитанное сообщение Alex Keda » 2009-08-19 13:18:54

радиус, доменная авторизация и т.п.
но надо будет настраивать на кажом сервере.
=======
и всё равно - поом лучше просомтреть на каждом сервере.
а ещё лучше - централизованное управление всеми.
у меня они ночью все качают файл, потом его выполняют.
шелл-скрипт. уже в нём могу сделать со всеми разом что угодно.
Убей их всех! Бог потом рассортирует...

Аватара пользователя
squid
лейтенант
Сообщения: 683
Зарегистрирован: 2007-05-25 11:32:23
Откуда: Украина, Киев
Контактная информация:

Re: ssh key authentication

Непрочитанное сообщение squid » 2009-08-19 13:42:24

радиус предполагает наличие пользователя в системе
имеючи доступ к системе пользователь может поставить себе ключик
даже отключив в радиусе, пользователь сможет пройти аутентификация
-------------------------
я за радиус, если можно как то обойти создание пользователя в /etc/passwd
хех..

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35189
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: ssh key authentication

Непрочитанное сообщение Alex Keda » 2009-08-19 13:59:47

squid писал(а):радиус предполагает наличие пользователя в системе
имеючи доступ к системе пользователь может поставить себе ключик
даже отключив в радиусе, пользователь сможет пройти аутентификация
-------------------------
я за радиус, если можно как то обойти создание пользователя в /etc/passwd

Код: Выделить всё

man sudo
Убей их всех! Бог потом рассортирует...

Аватара пользователя
squid
лейтенант
Сообщения: 683
Зарегистрирован: 2007-05-25 11:32:23
Откуда: Украина, Киев
Контактная информация:

Re: ssh key authentication

Непрочитанное сообщение squid » 2009-08-19 14:18:31

я не о том
есть модуль pam_radius
но как указать системе, чтобы она пользователей искала в радиусе - нужен также модуль nss, которого для радиуса нету
а если систем много, включая виртуалки, зоны, jail всего не уследишь
хех..

Аватара пользователя
terminus
майор
Сообщения: 2305
Зарегистрирован: 2007-10-29 11:27:35
Откуда: Рига

Re: ssh key authentication

Непрочитанное сообщение terminus » 2009-08-19 14:23:01

а там это не через pam делается?
Модель: AST-PM-105/0044; Тип: Универсальный, ремонтный; Название: Терминус; Род повреждения: Распад функций; Выводы: Сдать на слом.

Аватара пользователя
squid
лейтенант
Сообщения: 683
Зарегистрирован: 2007-05-25 11:32:23
Откуда: Украина, Киев
Контактная информация:

Re: ssh key authentication

Непрочитанное сообщение squid » 2009-08-19 14:26:02

для того чтобы он искал пользователя в радисе нужно что то прописать в /etc/nsswitch.conf
может где то что то пропустил, но не нашел ничего похожего для радиуса
хех..

Аватара пользователя
terminus
майор
Сообщения: 2305
Зарегистрирован: 2007-10-29 11:27:35
Откуда: Рига

Re: ssh key authentication

Непрочитанное сообщение terminus » 2009-08-19 14:34:46

Модель: AST-PM-105/0044; Тип: Универсальный, ремонтный; Название: Терминус; Род повреждения: Распад функций; Выводы: Сдать на слом.

Аватара пользователя
terminus
майор
Сообщения: 2305
Зарегистрирован: 2007-10-29 11:27:35
Откуда: Рига

Re: ssh key authentication

Непрочитанное сообщение terminus » 2009-08-20 11:52:18

Вот еще кстати интересная инфа (я сейчас по немногу почитываю про 386 Directory Server):
http://directory.fedoraproject.org/wiki/Howto:PAM
Configure OpenSSH to enable PAM authentication. Modify /etc/ssh/sshd_config
# Set this to 'yes' to enable PAM authentication, account processing,
# and session processing. If this is enabled, PAM authentication will
# be allowed through the ChallengeResponseAuthentication mechanism.
# Depending on your PAM configuration, this may bypass the setting of
# PasswordAuthentication, PermitEmptyPasswords, and
# "PermitRootLogin without-password". If you just want the PAM account and
# session checks to run without PAM authentication, then enable this but set
# ChallengeResponseAuthentication=no
#UsePAM no
UsePAM yes
Модель: AST-PM-105/0044; Тип: Универсальный, ремонтный; Название: Терминус; Род повреждения: Распад функций; Выводы: Сдать на слом.