Sistem manajemen kunci SSH

8

Saya mencari untuk beralih dari berbasis kata sandi (yang saya mulai kewalahan) dengan sistem berbasis kunci SSH.

Saya ingin tahu apakah ada sistem manajemen kunci SSH atau solusi server, yang akan memungkinkan saya untuk mendistribusikan dan mencabut kunci melalui mesin?

Atau pendekatan terbaik adalah menggunakan Wayang untuk tugas ini? Jika ya, maka apakah pendekatan pasangan kunci tunggal per mesin klien (dijelaskan di sini: Sistem terbaik untuk mengelola kunci ssh? ) Menjadi yang terbaik?

ssh puppet keys SyRenity
sumber

Jawaban:

3

Ya, Wayang adalah cara yang tepat untuk melakukan ini, dan dari pertanyaan lain itu, Opsi 3 tampaknya menjadi yang paling masuk akal (sekaligus menjadi jawaban yang diterima [selalu pertanda baik!]).

Ada modul ssh_key untuk boneka yang membuat semuanya mudah.

Tom O'Connor
sumber
Bisakah Anda mengarahkan saya ke modul ini? Juga, jika salah satu klien menjadi terganggu (misalnya laptop dicuri), saya dapat dengan mudah menonaktifkan kunci publik ini? Dan saya dapat dengan mudah menambahkan kunci baru?
SyRenity
1
Ya itu mudah untuk menambah dan menghapus kunci secara terpusat, meskipun secara praktis berbicara setiap modul manajemen kunci SSH yang tersedia untuk umum adalah boneka; lebih mudah hanya menggunakan file yang terfragmentasi secara langsung.
womble
Bisakah Anda menjelaskan apa yang Anda maksud dengan file yang terfragmentasi? Apakah ini file yang disimpan di pusat atau sesuatu?
SyRenity
1
Sepertinya saya ingat itu adalah kombinasi dari reductivelabs.com/trac/puppet/wiki/… dan reductivelabs.com/trac/puppet/wiki/Recipes/Authorized_keys Saya akan periksa nanti yang mana tepatnya.
Tom O'Connor
3

SSH bagus, tetapi ketika Anda mulai skala ke sejumlah besar kunci dan ACL, itu menjadi cepat jelek.

Kerberos dirancang untuk beroperasi di lingkungan seperti ini (banyak ACL, pencabutan kunci, dll.) Manajemen pengguna dengan kerberos adalah hal yang menyusahkan, tetapi jika Anda memiliki jumlah pengguna yang sangat kecil, itu sangat mudah.

chris
sumber
Terima kasih, akan memeriksanya, pikir kunci SSH melalui Wayang terdengar sebagai pendekatan yang lebih cepat.
SyRenity