Какое решение для централизованной аутентификации лучше всего?
Я хочу централизованно хранить всех наших пользователей и использовать это для доступа по SSH и других служб. Я также хочу, чтобы наши пользователи могли аутентифицироваться на своих машинах (в основном Mac), используя один и тот же сервер аутентификации.
В настоящее время мы используем SSH с открытыми ключами, но каждый пользователь генерирует свои собственные ключи и добавляет их на наши серверы. Этим становится трудно управлять, когда у нас появляются новые сотрудники или уходят другие.
Однако мне нужна аутентификация без пароля, поскольку я не доверяю пользователям создавать собственные пароли.
Какие еще есть варианты, кроме LDAP? Все наши серверы работают под управлением Linux.
Спасибо
В этом случае вы можете использовать LDAP как для аутентификации ваших компьютеров Mac, так и для централизованного хранения ваших открытых ключей. Хотя, чтобы получить хранилище открытых ключей, вам может потребоваться скомпилировать свой собственный пакет OpenSSH в зависимости от ОС / дистрибутива, в котором вы находитесь. OpenSSH LPK
Если вы реализуете общие дома NFS, ключ каждого пользователя нужно развернуть только один раз. Совместите это со стандартной аутентификацией / авторизацией LDAP и / или Kerberos, и вы получите стабильную, простую в обслуживании систему.
Вам следует подумать о настройке шлюза SSH, защищенного двухфакторной аутентификацией. Заставьте всех пользователей пройти через это, но позвольте им использовать ключи оттуда. Используйте PAM, чтобы требовать 2FA (или пароли, но похоже, что вы достаточно озабочены безопасностью, чтобы увидеть преимущества 2FA). Вот документ, который может вам помочь. Должно быть полезно независимо от того, куда вы идете: http://www.howtoforge.net/secure_ssh_with_wikid_two_factor_authentication