web-dev-qa-db-ja.com

パスワードなしのサーバーアクセスのためのKerberosの代替

たくさんのLinuxサーバーと3台のWindowsサーバー2008R2があります。これらの各サーバーから他のすべてのサーバーへのパスワードなしのSSHログインを可能にするソリューションが必要です。これは、すべてのマシンでキーを生成して他のすべてのサーバーに配布することで実現できますが、このソリューションのスケーラビリティは低くなります。サーバーを追加するときはいつでも、そのキーをすべてのサーバーに配布する必要があります。したがって、キーとすべてのサーバーへのアクセスを一元管理するためのソリューションが必要です。

KERBEROSは私のために行く方法ですか? Linuxでの愚かなまたはより良い解決策を知っている人はいますか?ありがとう。

1
Reb

Kerberosは最良のオプションですが、手動で設定することはおそらく望ましくありません。可動部分が多く、何かを間違えやすいです。

代わりに、ドメインを設定し、すべてのコンピューターをドメインに参加させる必要があります。

この環境のドメインを設定するには、次の3つのオプションがあります。

  • FreeIPA。これはLinux、特にRed Hatから派生したディストリビューションで十分にサポートされていますが、他のディストリビューションでも利用できます。すべてまたはほとんどすべてのコンピューターがLinuxを実行している場合、これが最良の選択です。少しの作業で、いくつかのWindowsコンピューターをドメインに参加させることができます。
  • ActiveDirectory。由緒あるWindowsベースのドメインコントローラー。ほとんどのコンピューターがWindowsを実行している場合に最適です。
  • 両方 FreeIPAとActiveDirectory。混合環境の場合は、FreeIPAを実行してLinuxシステムを管理し、Active Directoryを実行してWindowsシステムを管理し、それらの間に適切なクロスドメインの信頼を置くことをお勧めします。
  • ActiveDirectoryを装ったSamba4。これは、混合環境や、ADをセットアップするためのWindowsライセンスの予算を誰かが承認しなかった場所でよく見られます。最新のAD機能レベルのすべての機能をサポートしているとは限らないため、慎重に評価する必要があります。

すべての場合において、Kerberosがその下で使用されます。ただし、詳細は自動的に処理されるため、通常は詳細について心配する必要はありません。

3
Michael Hampton

これにはKerberosが最適なオプションです。 Linux、2000以降のWindows、および10.2以降のMacのほぼすべてのディストリビューションでサポートされています。既存のWindowsドメインインフラストラクチャがすでにある場合は、セットアップが比較的簡単です。もしそうなら、あなたのディストリビューションの名前とバージョンをグーグルで検索して「kerberize」してください。

2
schneiderbw

Active Directoryのルートをたどる場合は、 Centrify 、特に無料でパスワードなしのSSHログインの実装を非常に簡単にするエクスプレスバージョンを確認する価値があるかもしれません。その下でKerberosを使用しますが、構成するのに手を汚す必要はありません。

0
Chris Edgington