Qual seria a melhor solução para a autenticação central?
Eu quero armazenar todos os nossos usuários centralmente e usá-los para acesso SSH e outros serviços. Eu também quero que nossos usuários possam autenticar em suas máquinas (principalmente macs) usando o mesmo servidor de autenticação.
Atualmente, usamos o SSH com chaves públicas, mas cada usuário gera suas próprias chaves e as adiciona em nossos servidores. Isso se torna difícil de gerenciar quando conseguimos novos funcionários ou outros.
Eu preciso de autenticação sem senha, já que não confio em usuários para criar suas próprias senhas.
Quais outras opções existem além do LDAP? Todos os nossos servidores estão executando um pouco do Linux.
Obrigado
Você pode usar o LDAP nesse caso para autenticar suas caixas do Mac e também para armazenar centralmente suas chaves públicas. No entanto, para obter o armazenamento de chaves públicas, talvez seja necessário compilar seu próprio pacote OpenSSH, dependendo do sistema operacional / distribuição. OpenSSH LPK
Se você implementar residências compartilhadas pelo NFS, a chave de cada usuário só precisará ser implantada uma vez. Combine isso com a autenticação / autorização LDAP padrão e / ou Kerberos e você terá um sistema estável e fácil de manter.
Você deve considerar a configuração de uma caixa de gateway SSH protegida por autenticação de dois fatores. Faça todos os usuários passarem por isso, mas permita que eles usem as chaves de lá. Use o PAM para exigir 2FA (ou senhas, mas parece que você está com a mente voltada para a segurança o suficiente para ver os benefícios do 2FA). Aqui está um documento que pode orientá-lo. Deve ser útil, não importa o caminho a seguir: link
Tags ssh authentication