SSH mit CA und Zertifikat

[Florian Diesch]

On Tue, Mar 14, 2006 at 08:57:17AM +0100, Marc Risse wrote:
> Wir haben hier eine Serverfarm mit ca. 65 Linux-Servern. Insgesamt sind wir 
> 12
> Administratoren, die jeweils nur für ein paar Server verantwortlich sind.
> Mein Chef hat mich gebeten mal zu schauen, in wie weit es möglich wäre, den
> Zugang zu den Systemen über eine CA zu regeln - sprich: Jeder Admin hat sein
> eigenes Zertifikat und über das Zertifikat, bzw. über die CA soll geregelt
> werden, auf welchen Server ich Zugriff hab.
> Die Lösung über Authorized_keys, die ich persönlich am einfachsten und am
> brauchbarsten halte, möchte mein Chef nicht, weil dann bei jeder Änderung 
> die Systeme selbst angefasst werden müssen.

Das könnte man z.B. mit cfengine automatisieren.

> Über unseren LDAP möchten wir auch nicht, da wir den ROOT-Account (ja, den
> gibts bei uns ;-) ) nicht ins LDAP hängen möchten - böse Erfahrungen mit
> gemacht!
> 
> Hat jemand mal sowas gemacht oder kennt ein paar gute HowTOs, die den
> Vorstellungen meines Chefs entgegenkommen??

Kerberos könnte eine Möglichkeit sein.


-- 
You're suggesting MS stands for 'Mimick or Steal', right?
[W.H.Offenbach in <mailman.60.1131007589.18701.python-list at python.org>]