CA do Windows para emitir certificado para autenticar o SSH em um servidor Linux

2

Eu tenho uma autoridade de certificação raiz do Windows Server, um servidor SSH do Linux e usuários com clientes SSH do Windows. A caixa do Linux não faz parte do domínio do AD (e provavelmente nunca será [suspiro])

O OpenSSH 5.4 e versões posteriores suportam autenticação baseada em certificados X.509 . Eu estou tentando encontrar uma maneira de usar minha autoridade de certificação do Windows para emitir certificados para autenticação dos usuários quando o SSH para a caixa de Linux.

Eu não quero ter que gerar um par de chaves na área de trabalho de cada usuário. E queremos que os certificados sejam controlados e revogáveis na CA do Windows.

Minha pergunta não é exatamente a mesma SSH do Windows para o Linux com certificados do AD (e o moelinux.net mencionado parece estar inativo)

Eu pesquisei muito no Google e não encontrei muitos resultados sobre como fazer isso. Uma resposta não precisa necessariamente incluir um tutorial completo, até mesmo algumas dicas sobre o que procurar ou referências a algumas referências podem ser úteis.

    
por BArnold 14.08.2012 / 22:08

1 resposta

1

Entre o readme do OpenSSH 5.4 e o Roumen Petrov, não parece que ele está disponível na medida em que você está procurando nesta data. Parece também que o OpenSSH não está tão interessado em apoiá-lo.

Dito isto, talvez você consiga fazer isso acontecer se você instalar a versão bifurcada que o Petrov fornece.

  • link

    "Adicione suporte para autenticação de certificados de usuários e hosts usando um novo formato de certificado OpenSSH mínimo (não X.509)."

  • link

    "Todos os componentes de natureza restritiva (ou seja, patentes, veja ssl) foram removidos do código-fonte; quaisquer componentes licenciados ou patenteados são escolhidos de bibliotecas externas (por exemplo, OpenSSL)."

  • link

  • link - fornece patch para a versão atual do OpenSSH, que pode fazer o que você precisa. Eu não posso garantir isso, mas parece interessante. Eu não estou inclinado a divergir do ramo principal do OpenSSH, a segurança é importante e eu não tenho os recursos para verificar corretamente essa mudança significativa.
por 20.11.2012 / 05:21