我们有数百个服务器盒(CentOS6 / 7的混合,如果重要的话)需要在团队之间每天快速连接到一起.每个人都使用mRemoteNG或SuperPutty作为保存和组织连接信息的能力以及标签连接是必须的.目前,每个人都共享一个SSH密钥以登录所有框.显然,我们目前的做法是一个糟糕的想法,所以我们想做的是给每个用户一个单独的帐户和密钥以便在各个方框中使用.
环顾四周,似乎Kerberos是管理多个用户和处理身份验证的完美选择
大量的服务器.不幸的是,我们似乎在让它按照我们想要的方式工作时遇到了一些问题.我们能够设置Kerberos来为具有密码的用户处理SSH连接,但是当涉及到禁用密码和使用SSH密钥时,我们无法弄明白.
我们也研究过使用Kerberos keytabs,但是我们无法通过PuTTY让它们工作,或找到一个可行的解决方案来保存连接信息并使用keytabs标记连接.
这里的主要问题是:可以使用Kerberos通过SSH密钥管理SSH用户吗?如果没有,是否有可用于Kerberos键盘的PuTTY构建,或者可以组织并具有选项卡式连接的替代方案?谢谢!
PuTTY可以通过两种方式获取所需的Kerberos票证授予票证:
>当您登录到域中的Windows计算机时,PuTTY可以访问Windows从其Active Directory域服务器获取的任何票证.在这种情况下,没有必要做任何特殊的事情来获得一张票.
>或者(例如,在不在域中的Windows计算机上),PuTTY还可以访问通过运行“MIT Kerberos for Windows”程序包附带的“MIT Kerberos Ticket Manager”GUI工具获得的任何故障单(http://web.mit.edu/kerberos/dist/).在启动PuTTY之前,只需使用它来获取Kerberos票证.如果“MIT Kerberos Ticket Manager”正在运行,如果PuTTY需要,它将自动提示您输入Kerberos密码.因此,最好将“MIT Kerberos Ticket Manager”的快捷方式添加到Startup文件夹中.
在sshd服务器端:
>从KDC获取并在/etc/krb5.keytab中安装服务器密钥表.
>在/ etc / ssh / sshd_config中,确保您具有GSSAPIAuthentication yes以启用Kerberos身份验证.
确保krb5.conf在两端都设置正确,这样putty和sshd使用的GSSAPI库都找到相同的域并联系同一个KDC(除非您的域和KCD已经通过DNS正确通告,在这种情况下没有什么需要添加到krb5.conf).
