Единый вход с удаленного SSH-сервера

394
Basilevs

Можно ли авторизовать пользователя на основе предоставленных логина и пароля, подключившись к удаленному SSH-серверу?

Если соединение успешно установлено и пара логин-пароль зарегистрирована на удаленном конце, пользователь предоставил логин доступ к локальной машине.

Я слышал, что есть такой модуль PAM, но теперь я могу найти только pam_ssh, который (локально) манипулирует закрытыми ключами.

1
Какой будет вариант использования для этого? Просто любопытно. grawity 12 лет назад 0
Посмотрите на Kerberos. Gilles 12 лет назад 1
@gravity: простой вход в домен без дополнительной инфраструктуры. Basilevs 12 лет назад 0
Вам * все еще * придется вручную добавить учетную запись пользователя на все серверы *, и * станет невозможным использовать аутентификацию по публичному ключу SSH, если вам потребуется пароль для проверки авторизации (вы имели в виду «аутентифицировать» в своем посте?), и он * все еще * требует того же количества "дополнительной инфраструктуры" (один сервер проверки пароля), что и Kerberos, но с более сложной и менее стандартной конфигурацией ... grawity 12 лет назад 0
... в заключение, это не будет так просто, как кажется. grawity 12 лет назад 0
@ grawity, почему я должен добавлять учетные записи пользователей на каждом хосте? Модули PAM могут предоставлять информацию о пользователях POSIX (например, UID), при этом абсолютно не нужно использовать локальные файлы passwd / shadow. Basilevs 12 лет назад 0
PAM не может предоставить полную информацию - например, любая программа, использующая getpwnam () (что означает 99,9% из них) будет вызывать ** NSS ** модули (`/ etc / nsswitch.conf`). И каждый модуль, кроме `nss_files`, требует« дополнительной инфраструктуры ». Кроме того, если вы хотите использовать «удаленный SSH-сервер» для этого, даже невозможно надежно извлечь информацию. Вам нужно будет вводить пароль SSH каждый раз, когда программа запрашивает вашу информацию? grawity 12 лет назад 0
Я не вижу никаких проблем с nss - мы можем просто добавить новый источник, как это делают домены LDAP. Я не знаю никакой другой доменной службы, которая не требует ничего, кроме существующего сервера входа SSH. Надежность удаленного сервера определяется связностью, безопасность обеспечивается ключами хоста и шифрованием. Повторное извлечение информации - действительно большая проблема, я упустил этот момент (хотя с точки зрения SSH это легко сделать с помощью ssh-agent). Basilevs 12 лет назад 0

0 ответов на вопрос

Похожие вопросы