Возможный дубликат:
Система распространения открытых ключей SSH
Нужна помощь в управлении аутентификацией разработчика в нашей системе. У нас есть несколько серверов CentOS (база данных, Интернет, Redis и т. Д.), И важно иметь возможность контролировать доступ к ним централизованно и (надеюсь) простым способом. Сейчас мы используем файл authorized_keys, куда мы копируем ключевые данные из ключей, сгенерированных нашими разработчиками. Однако это не так масштабируемо и гибко, поскольку нам нужно обновлять несколько серверов всякий раз, когда кто-то входит / выходит из команды.
Одна из имеющихся у нас возможностей - иметь централизованный файл, который копируется на каждый сервер, прежде чем выполнять sshd restart. Однако мне интересно узнать, есть ли лучший образец или альтернативный способ сделать это, прежде чем я потрачу время на его реализацию.
Каков обычный шаблон для аутентификации нескольких пользователей, особенно в многосерверной среде? Бонусные баллы за решение, которое также позволяет нам определить какую-то роль для инкапсуляции доступа (т.е. разработчикам интерфейса может не потребоваться доступ к серверам баз данных, как очень надуманный пример).
Огромное спасибо!
Вначале скажу, что я не занимаюсь много машин Linux. Почти все мои клиенты имеют Active Directory, и я добился хороших успехов в использовании pam_krb5 для аутентификации пользователей SSH в AD с использованием Kerberos. Предположительно, вы могли бы развернуть свою собственную инфраструктуру Kerberos (вместо Active Directory) для выполнения чего-то подобного.