Single sign-on для SSH своими руками

[firk]

Статья о том, как подарить ключи от своего сервера левым конторам.

[amarao]

Ох, как оператор, я смотрю на это с… вздохом.

Очередной раз сделали авторизацию, которая зависит от другого сервера. Какая разница, что это? Керберос, LDAP, oldap или ещё что-то?

У вас авария, вы не понимаете что происходит. Надо зайти на сервер, а вы не можете. И вы не понимаете почему нет связи между сервером и "другим сервером", потому что вы не понимаете что происходит во время аварии.

Ключи для доступа на сервер должны быть на сервере. Так же как и пароли для захода с консоли для осбо важных для бутстрапа серверов, причём с оффлайновой копией.

Городить облака в облаках можно до тех пор, пока с низу вам не постучит… черепаха. Хотя это на самом деле песец в шляпке.

[ProFfeSsoRr]

Надо зайти на сервер, а вы не можете

ну тут смотря какой сервер. Если это виртуалка — можно ж открыть её консоль и там залогинится. Если это железка у себя — можно заранее нормально настроить IPMI. Ну а если это амазон, где консоли нет, и такой режим… то надо готовить инфраструктуру так, чтобы просто пересоздать такой сервер с нуля и всё :)

[amarao]

Если pam для консоли не трогать, то можно. Но если у вас есть пароли на серверах, то это уже несколько осложняет модель single sign on.