В настоящее время у меня есть несколько пользователей, получающих доступ к нескольким серверам клиентов с доступом по ssh (все они разрешают доступ только с нашего IP-адреса государственного офиса). Это раздражает, если новый сотрудник входит в компанию или просто в команду, или уходит из команды или организации. Другая проблема заключается в том, что серверы меняют владельца в зависимости от их стадии (разработка, эксплуатация).
Так что в лучшем случае я буду обновлять авторизованные ключи каждый раз, когда что-то меняется в сценарии, например, в Ansible.
Дело в том, что я хочу полагаться на внутренних пользователей Active Directory и членство в группах, поэтому, когда пользователь меняет команду (и группы) или покидает компанию (деактивируется), эти изменения происходят автоматически. Но этим серверам потребуется доступ к серверу AD, который тогда является только внутренним. Так что это не вариант, поскольку мне не нужен порт AD в Интернете.
Поэтому я хотел иметь что-то вроде хоста обратного бастиона / перехода (или шлюза ssh), который находится в DMZ наших офисных сетей и с которого пользователи могут подключаться к ssh-серверу клиентов. Узел перехода будет иметь доступ к AD для аутентификации и авторизации пользователей, если они находятся в правильной группе, которая необходима для клиентского сервера, к которому он хочет подключиться.
Я нашел нечто похожее (Шлюз доступа SSH для многих серверов), но не решает двух проблем: - нет интеграции с AD - нет разделения между командами
Рассматривать Проверка подлинности сертификата SSH, с ключами подписи для каждого клиента.
Однако это отдельная PKI для реализации (не x.509). Вам нужно будет спроектировать, как распространять и отзывать ключи. И если вы хотите интегрировать его с каталогом.