Можно ли настроить ssh и Active Directory (вариант Win2008r2) так, чтобы пользователи домена могли получить доступ к * nix и ssh-серверам, работающим на серверах Windows, без необходимости вводить свой пароль?
Если да, то как?
я обнаружил некоторая документация это предполагает, что это (или что-то подобное) возможно путем изменения схемы AD, чтобы освободить место для открытого ключа.
Однако большинство концепций сами по себе новы для меня, потому что на самом деле я разработчик, маскирующийся под системного администратора в команде разработчиков.
Контекст: у нас есть несколько ящиков Windows и несколько ящиков * nix, и мы хотим запустить некоторую автоматизацию удаленного администрирования для обоих наборов в сценарии типа непрерывного развертывания, а также в режиме специального обслуживания из центра. Сценарий типа места.
Я пытался то же самое, что и у вас, в частности, пытаясь управлять Linux и Windows с помощью одного и того же набора инструментов, и не обнаружили ничего, кроме боли и разочарования. Они настолько сильно различаются по настройке, внешнему виду и конструктивным предположениям, что инструменты, которые хорошо работают на одной (SSH, PowerShell), являются уродливыми и хрупкими взломами на другой платформе (да, существует PowerShell для Linux, написано в Mono). Хрупкость подтолкнула нас к использованию двух отдельных систем развертывания для наших систем Windows и Linux. Я не знаю ни одного существующий инструмент, который может сделать так, хотя я не знаю пары, которые упорно пытаются (обе Повар и Кукольный сообщается, что работает над такой Grand Unified Management Framework, Повар доставил).
Мой совет, особенно с учетом того, что вы, кажется, начинаете работать с Linux, - посмотрите, какие хуки вы можете найти для доступа к Платформа удаленного управления Windows ("winrm" - ключевое слово). Это керберизованные вызовы SOAP через HTTP в основе, поэтому на самом деле это намного проще для удаленной системы, чем установка SSH-серверов на ваших машинах с Windows. У Руби есть драгоценный камень, который сделает это. WinRM интересен тем, что это предназначенная Microsoft структура «запускать команды на удаленных машинах», для которой вы пытаетесь использовать SSH, и теоретически предлагает cmd.exe или PowerShell в качестве интерпретатора команд.
Другой способ сделать это - это то, как я это делаю: комбинация samba с winbind для добавления системы в aduc и использования Kerberos для единого входа. У меня есть несколько руководств, если вам интересно.
У меня есть установка, которая косвенно достигает той же цели для некоторых из моих систем. Доступ SSH к целевым системам осуществляется только через открытый / закрытый ключ. Ключи хранятся в общей сетевой папке, доступной только тем, кому разрешен доступ. Вроде просто и грубо, но довольно эффективно. Конечно, нет ничего, что могло бы помешать авторизованному пользователю скопировать ключ (и), но в любом случае только доверенные пользователи имеют доступ.