Я следовал этому руководству здесь: https://github.com/jirutka/ssh-ldap-pubkey Чтобы настроить сервер LDAP, который позволяет аутентификацию запрашивать пароль и открытый ключ для входа в систему.
Хотя все это кажется очень хорошей идеей, ssh-сервер запускает эти сценарии (как описано в руководстве) каждый раз, когда кто-то входит в систему.
AuthorizedKeysCommand /usr/bin/ssh-ldap-pubkey-wrapper
Это вызовет мой сервер LDAP и попытается получить открытый ключ для текущего пользователя. Я хотел бы знать, как у меня может быть резервная система на случай, если сервер LDAP недоступен по каким-либо причинам. Я уже рассматривал второй сервер LDAP для резервирования, но хотел бы знать, как подойти к этому локально.
ps: Использование CentOS 6.6
В среде, с которой я работаю, работают как минимум два сервера LDAP, чтобы предотвратить проблемы, о которых вы сейчас думаете. Поэтому, если возможно, настройте второй сервер LDAP, желательно на другом физическом хосте, чем первый.
Кроме того, вы можете проверить, стоит ли реализовывать демон кеширования службы имен (nscd), который
демон, который предоставляет кеш для наиболее распространенных запросов службы имен.
(Не уверен, работает ли это для ключей SSH, но вы узнаете.) В разделе 2.2.2.3. NSCD configuration из этот вы найдете небольшое руководство.
Также вы можете взглянуть на служба безопасности системы демон sssd, который
системный демон. Его основная функция - предоставить доступ к удаленному ресурсу идентификации и аутентификации через общую структуру, которая может обеспечить кэширование и автономную поддержку системы.
(На мой взгляд, это более современный способ, а не nscd.)
Проверять, выписываться этот для некоторых общих замечаний по настройке на CentOS, и который для получения информации о ключах SSH.