Я новичок в двухфакторной аутентификации. У меня есть общая идея реализовать двухфакторную аутентификацию на одном сервере. Но мне было интересно, есть ли стандартное решение для его реализации на нескольких серверах.
СЦЕНАРИЙ:
Итак, есть несколько машин * nix (около 50), для которых я хочу включить двухфакторную аутентификацию. Если я включу двухфакторную аутентификацию ssh с помощью аутентификатора Google (https://www.digitalocean.com/community/tutorials/how-to-protect-ssh-with-two-factor-authentication) на всех машинах, создание и отслеживание индивидуальных кодов авторизации не кажется хорошей идеей. Есть ли способ упростить весь процесс?
EX:
Есть ли способ использовать двухфакторную аутентификацию ssh один раз и пересылать ее с моими ssh-запросами на все машины? Как прокси-машина, которая может обрабатывать OAuth для остальной части моего стека? Также существуют ли существующие системы / программное обеспечение / услуги, которые могут упростить внедрение? Я также открыт для новых архитектурных проектов.
Заранее спасибо!
PS:
В настоящее время мы используем аутентификацию на основе ssh-ключа на всех наших машинах.
Если ваша основная цель - пройти аутентификацию один раз и получить доступ ко всем вашим машинам без повторной аутентификации, вы можете использовать аутентификацию на основе ключа с вашего промежуточного хоста: https://www.digitalocean.com/community/tutorials/how-to-configure-ssh-key-based-authentication-on-a-linux-server.
(Приносим извинения, если вы уже знали об этой опции.)
Если у вас изолированная сеть (никто не может использовать вашу подсеть), вы можете отключить публичный доступ по SSH для всех машин (назовем их частными машинами), кроме одной / двух машин (публичные машины).
Общедоступные машины имеют двухфакторную аутентификацию.
На частных машинах нет двухфакторной аутентификации. Порт SSH частных машин доступен только с определенного IP-адреса (например, вашей подсети или IP-адреса общедоступных машин).
Этот способ обычно используется в среде AWS с публично-частной подсетью. Экземпляры только с частным IP-адресом доступны только из экземпляров, имеющих общий доступ.
Итак, всякий раз, когда вы хотите получить доступ к своим частным машинам, вам нужно сначала войти в систему на общедоступной машине. А затем оттуда вы можете войти в систему на любых машинах.