Страница 1 из 1

ssh key authentication

Добавлено: 2009-08-19 11:25:32
squid
Привет
есть ли возможность хранить ключи в одном месте, а не в .ssh/authorized_keys на каждом сервере у каждого пользователя
просто при смене должности/уволнении появляется вопрос, как централизовано закрыть/сменить доступ, не будешь же смотреть на каждом сервере есть ли у него ключ или нет ?

Re: ssh key authentication

Добавлено: 2009-08-19 13:18:54
Alex Keda
радиус, доменная авторизация и т.п.
но надо будет настраивать на кажом сервере.
=======
и всё равно - поом лучше просомтреть на каждом сервере.
а ещё лучше - централизованное управление всеми.
у меня они ночью все качают файл, потом его выполняют.
шелл-скрипт. уже в нём могу сделать со всеми разом что угодно.

Re: ssh key authentication

Добавлено: 2009-08-19 13:42:24
squid
радиус предполагает наличие пользователя в системе
имеючи доступ к системе пользователь может поставить себе ключик
даже отключив в радиусе, пользователь сможет пройти аутентификация
-------------------------
я за радиус, если можно как то обойти создание пользователя в /etc/passwd

Re: ssh key authentication

Добавлено: 2009-08-19 13:59:47
Alex Keda
squid писал(а):радиус предполагает наличие пользователя в системе
имеючи доступ к системе пользователь может поставить себе ключик
даже отключив в радиусе, пользователь сможет пройти аутентификация
-------------------------
я за радиус, если можно как то обойти создание пользователя в /etc/passwd

Код: Выделить всё

man sudo

Re: ssh key authentication

Добавлено: 2009-08-19 14:18:31
squid
я не о том
есть модуль pam_radius
но как указать системе, чтобы она пользователей искала в радиусе - нужен также модуль nss, которого для радиуса нету
а если систем много, включая виртуалки, зоны, jail всего не уследишь

Re: ssh key authentication

Добавлено: 2009-08-19 14:23:01
terminus
а там это не через pam делается?

Re: ssh key authentication

Добавлено: 2009-08-19 14:26:02
squid
для того чтобы он искал пользователя в радисе нужно что то прописать в /etc/nsswitch.conf
может где то что то пропустил, но не нашел ничего похожего для радиуса

Re: ssh key authentication

Добавлено: 2009-08-19 14:34:46
terminus

Re: ssh key authentication

Добавлено: 2009-08-20 11:52:18
terminus
Вот еще кстати интересная инфа (я сейчас по немногу почитываю про 386 Directory Server):
http://directory.fedoraproject.org/wiki/Howto:PAM
Configure OpenSSH to enable PAM authentication. Modify /etc/ssh/sshd_config
# Set this to 'yes' to enable PAM authentication, account processing,
# and session processing. If this is enabled, PAM authentication will
# be allowed through the ChallengeResponseAuthentication mechanism.
# Depending on your PAM configuration, this may bypass the setting of
# PasswordAuthentication, PermitEmptyPasswords, and
# "PermitRootLogin without-password". If you just want the PAM account and
# session checks to run without PAM authentication, then enable this but set
# ChallengeResponseAuthentication=no
#UsePAM no
UsePAM yes