Linux

用於無密碼伺服器訪問的 Kerberos 替代方案

  • November 26, 2020

我有一堆 Linux 伺服器和三個 Windows 伺服器 2008 R2。我需要一個解決方案,它可以實現從這些伺服器中的每一個伺服器到所有其他伺服器的無密碼 SSH 登錄。我可以通過在所有機器上生成密鑰並將它們分發到所有其他伺服器來做到這一點,但是這種解決方案的可擴展性很低。每當我添加伺服器時,我都必須將它的密鑰分發給所有伺服器。因此,我需要一個解決方案來集中管理密鑰和訪問所有伺服器。

KERBEROS 是否適合我?有誰知道Linux上有任何類似或更好的解決方案?謝謝。

Kerberos 是最好的選擇,但您可能不想手動設置它。它有很多活動元件,很容易出錯。

相反,您應該設置一個域並將所有電腦加入該域。

您可以通過三個選項為此環境設置域:

  • 免費IPA。這在 Linux 中得到了很好的支持,尤其是 Red Hat 派生的發行版,儘管它也可以在其他發行版中使用。如果所有或幾乎所有電腦都執行 Linux,這是您的最佳選擇;只需一點工作就可以使少數 Windows 電腦加入域。
  • 活動目錄。久負盛名的基於 Windows 的域控制器,如果大多數電腦執行 Windows,它是您的最佳選擇。
  • FreeIPA和 Active Directory。如果你有一個混合環境,你可能希望執行 FreeIPA 來管理你的 Linux 系統和 Active Directory 來管理你的 Windows 系統,它們之間有適當的跨域信任。
  • Samba 4 偽裝成 Active Directory。您經常會在混合環境中看到這種情況,或者在有人沒有批准用於設置 AD 的 Windows 許可證預算的地方。應該仔細評估它,因為它可能不支持現代 AD 功能級別的所有功能。

在所有情況下,Kerberos 都將在下面使用;但您通常不必擔心細節,因為它們是為您處理的。

引用自:https://serverfault.com/questions/669321