Alternativas para o Kerberos para acesso ao servidor sem senha

1

Eu tenho um monte de servidores Linux e três servidores Windows 2008 R2. Eu precisaria de uma solução que possibilitasse o login SSH sem senha de cada um desses servidores para todos os outros. Eu poderia fazer isso gerando chaves em todas as máquinas e distribuí-las para todos os outros servidores, mas essa solução tem baixa escalabilidade. Sempre que eu adiciono um servidor, eu tenho que distribuir a chave para todos os servidores. Portanto, eu precisaria de uma solução para administrar centralmente a chave e o acesso a TODOS os servidores.

KERBEROS é um caminho para mim? Alguém sabe de alguma solução de silimlar ou melhor no Linux? Obrigado.

    
por Reb 17.02.2015 / 15:33

3 respostas

3

O Kerberos é a melhor opção, mas você provavelmente não deseja configurá-lo manualmente. Tem muitas partes móveis e é fácil obter algo errado.

Em vez disso, você deve configurar um domínio e associar todos os computadores ao domínio.

Você tem três opções para configurar um domínio para esse ambiente:

  • FreeIPA. Isso é bem suportado no Linux, especialmente nas distribuições derivadas da Red Hat, embora também esteja disponível em outras distribuições. Esta é a sua melhor escolha se todos ou quase todos os computadores executam o Linux; e os poucos computadores com Windows podem se juntar ao domínio com um pouco de trabalho.
  • Diretório ativo. O venerável controlador de domínio baseado no Windows, que é sua melhor escolha se a maioria dos computadores executar o Windows.
  • Ambos FreeIPA e Active Directory. Se você tiver um ambiente misto, talvez queira executar o FreeIPA para gerenciar seus sistemas Linux e o Active Directory para gerenciar seus sistemas Windows, com relações de confiança entre domínios apropriadas entre eles.
  • Samba 4 fingindo ser o Active Directory. Muitas vezes você verá isso em ambientes mistos ou em locais onde alguém não aprovou o orçamento para uma licença do Windows para configurar o AD. Deve ser avaliado com cuidado, pois pode não suportar todos os recursos dos níveis funcionais modernos do AD.

Em todos os casos, o Kerberos será usado por baixo; mas você geralmente não precisa se preocupar com os detalhes, pois eles são feitos para você.

    
por 17.02.2015 / 16:45
2

O Kerberos é a melhor opção para isso. É suportado em quase todas as distros do Linux, Windows desde 2000 e Mac desde 10.2. É relativamente simples de configurar, se você já tiver uma infraestrutura de domínio do Windows existente. Se fizer isso, basta Google o nome e a versão da sua distribuição e "kerberize".

    
por 17.02.2015 / 16:39
0

Se você percorrer a rota do diretório ativo, pode valer a pena conferir Centrify , particularmente a versão expressa que é gratuito e torna muito simples implementar o login SSH sem senha. Ele usa o Kerberos por baixo, mas não há necessidade de sujar as mãos configurando-o.

    
por 18.02.2015 / 12:00