ssh key authentication
Модератор: vadim64
- squid
- лейтенант
- Сообщения: 683
- Зарегистрирован: 2007-05-25 11:32:23
- Откуда: Украина, Киев
- Контактная информация:
ssh key authentication
Привет
есть ли возможность хранить ключи в одном месте, а не в .ssh/authorized_keys на каждом сервере у каждого пользователя
просто при смене должности/уволнении появляется вопрос, как централизовано закрыть/сменить доступ, не будешь же смотреть на каждом сервере есть ли у него ключ или нет ?
есть ли возможность хранить ключи в одном месте, а не в .ssh/authorized_keys на каждом сервере у каждого пользователя
просто при смене должности/уволнении появляется вопрос, как централизовано закрыть/сменить доступ, не будешь же смотреть на каждом сервере есть ли у него ключ или нет ?
хех..
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
- Alex Keda
- стреляли...
- Сообщения: 35454
- Зарегистрирован: 2004-10-18 14:25:19
- Откуда: Made in USSR
- Контактная информация:
Re: ssh key authentication
радиус, доменная авторизация и т.п.
но надо будет настраивать на кажом сервере.
=======
и всё равно - поом лучше просомтреть на каждом сервере.
а ещё лучше - централизованное управление всеми.
у меня они ночью все качают файл, потом его выполняют.
шелл-скрипт. уже в нём могу сделать со всеми разом что угодно.
но надо будет настраивать на кажом сервере.
=======
и всё равно - поом лучше просомтреть на каждом сервере.
а ещё лучше - централизованное управление всеми.
у меня они ночью все качают файл, потом его выполняют.
шелл-скрипт. уже в нём могу сделать со всеми разом что угодно.
Убей их всех! Бог потом рассортирует...
- squid
- лейтенант
- Сообщения: 683
- Зарегистрирован: 2007-05-25 11:32:23
- Откуда: Украина, Киев
- Контактная информация:
Re: ssh key authentication
радиус предполагает наличие пользователя в системе
имеючи доступ к системе пользователь может поставить себе ключик
даже отключив в радиусе, пользователь сможет пройти аутентификация
-------------------------
я за радиус, если можно как то обойти создание пользователя в /etc/passwd
имеючи доступ к системе пользователь может поставить себе ключик
даже отключив в радиусе, пользователь сможет пройти аутентификация
-------------------------
я за радиус, если можно как то обойти создание пользователя в /etc/passwd
хех..
- Alex Keda
- стреляли...
- Сообщения: 35454
- Зарегистрирован: 2004-10-18 14:25:19
- Откуда: Made in USSR
- Контактная информация:
Re: ssh key authentication
squid писал(а):радиус предполагает наличие пользователя в системе
имеючи доступ к системе пользователь может поставить себе ключик
даже отключив в радиусе, пользователь сможет пройти аутентификация
-------------------------
я за радиус, если можно как то обойти создание пользователя в /etc/passwd
Код: Выделить всё
man sudo
Убей их всех! Бог потом рассортирует...
- squid
- лейтенант
- Сообщения: 683
- Зарегистрирован: 2007-05-25 11:32:23
- Откуда: Украина, Киев
- Контактная информация:
Re: ssh key authentication
я не о том
есть модуль pam_radius
но как указать системе, чтобы она пользователей искала в радиусе - нужен также модуль nss, которого для радиуса нету
а если систем много, включая виртуалки, зоны, jail всего не уследишь
есть модуль pam_radius
но как указать системе, чтобы она пользователей искала в радиусе - нужен также модуль nss, которого для радиуса нету
а если систем много, включая виртуалки, зоны, jail всего не уследишь
хех..
- terminus
- майор
- Сообщения: 2305
- Зарегистрирован: 2007-10-29 11:27:35
- Откуда: Рига
Re: ssh key authentication
а там это не через pam делается?
Модель: AST-PM-105/0044; Тип: Универсальный, ремонтный; Название: Терминус; Род повреждения: Распад функций; Выводы: Сдать на слом.
- squid
- лейтенант
- Сообщения: 683
- Зарегистрирован: 2007-05-25 11:32:23
- Откуда: Украина, Киев
- Контактная информация:
Re: ssh key authentication
для того чтобы он искал пользователя в радисе нужно что то прописать в /etc/nsswitch.conf
может где то что то пропустил, но не нашел ничего похожего для радиуса
может где то что то пропустил, но не нашел ничего похожего для радиуса
хех..
- terminus
- майор
- Сообщения: 2305
- Зарегистрирован: 2007-10-29 11:27:35
- Откуда: Рига
Re: ssh key authentication
http://www.freebsd.org/cgi/man.cgi?quer ... &sektion=8
http://www.freebsd.org/doc/en/articles/ ... onfig.html
http://www.freebsd.org/doc/en/articles/ ... onfig.html
Модель: AST-PM-105/0044; Тип: Универсальный, ремонтный; Название: Терминус; Род повреждения: Распад функций; Выводы: Сдать на слом.
- terminus
- майор
- Сообщения: 2305
- Зарегистрирован: 2007-10-29 11:27:35
- Откуда: Рига
Re: ssh key authentication
Вот еще кстати интересная инфа (я сейчас по немногу почитываю про 386 Directory Server):
http://directory.fedoraproject.org/wiki/Howto:PAM
http://directory.fedoraproject.org/wiki/Howto:PAM
Configure OpenSSH to enable PAM authentication. Modify /etc/ssh/sshd_config
# Set this to 'yes' to enable PAM authentication, account processing,
# and session processing. If this is enabled, PAM authentication will
# be allowed through the ChallengeResponseAuthentication mechanism.
# Depending on your PAM configuration, this may bypass the setting of
# PasswordAuthentication, PermitEmptyPasswords, and
# "PermitRootLogin without-password". If you just want the PAM account and
# session checks to run without PAM authentication, then enable this but set
# ChallengeResponseAuthentication=no
#UsePAM no
UsePAM yes
Модель: AST-PM-105/0044; Тип: Универсальный, ремонтный; Название: Терминус; Род повреждения: Распад функций; Выводы: Сдать на слом.