SSH公開鍵を配布するためのシステム

OpenSSHで利用できるパッチがあり、LDAPサーバーからの公開鍵を使用できますが、これは本当にLDAPサーバーに対して認証/アカウントチェックが行われる場合にのみ意味があります（これは私の環境のセットアップ方法です）。また、LDAP構成と同じくらい安全です（したがって、SSLを使用して鍵を検証する必要があります）。

パッチと詳細については http://code.google.com/p/openssh-lpk/ を参照してください。デフォルトでこのパッチが付属しているOSは知りませんが、FreeBSDを実行している場合、ポートからOpenSSHを使用する場合、これはオプションのパッチです。

私はファイアウォールルールで同じことをする非常に簡単なソリューションを実行します

hosts.confファイルの例：

192.168.0.1
192.168.2.99
192.168.2.100

distribute.sh：

#!/bin/bash
for d in `cat ./hosts.conf`; do
  echo "copying to $d ...";
  scp /root/.ssh./authorized_keys root@$d:/root/.ssh./authorized_keys
done;

それは魔法全体です:-)

私は現在チェックアウトしています SSH KeyDB 。これは、役割、サーバー、ユーザーの管理、ユーザーキーの配布、ホストキーの収集などを正確に行うことを目的としています。「場所」と呼ばれるものさえあります。

私はまだそれをすべて試していません、そしてそれが完全に働いているかどうかわかりません。コードはpython=にありますが、かなり扱いやすいように見えるので、ほこりを払って動作させるのはそれほど難しくないはずです。

あなたが解決しようとしている2つの（一般的には3に変わる）異なる問題があります：

• 認証（あなたは誰ですか？）
• 承認（このサーバーへのアクセスは許可されていますか？）
• 監査（あなたは何をしましたか？）

公開鍵認証は、時々認証するための問題のない方法ですが、認証についてはまったく触れていません。公開鍵認証は好きではありません。適切な制御を行っていない限り、（特に内部的に）非常に簡単に侵害できます。

そこで活躍するのが、Kerberosなどのソリューションです。 Windowsの世界では、Active Directoryがこの問題を解決します。 Unixの世界には選択肢がたくさんありますが、これは良いことでも悪いことでもあります。

私は、Red Hat FreeIPA プロジェクトをチェックします。これは、ADのようなKerberos/LDAP/DNSシステムを簡単にすばやく起動して実行できるようにするソフトウェアのバンドルです。

多くの人があなたが何を意味しているのかはわかりませんが、変更しても構わないと思っているのですが、Kerberosは探しているドロイドです。それはあなたの問題をエレガントに解決し、人とマシンの両方を認証します。

[〜＃〜] skm [〜＃〜] もあります

Bcfg2 を bcfg2-accounts とともに使用して、authorized_keysを配布できます。追加ボーナスとして、ユーザーとグループを制御することができます。

Bcfg2は SSHbase を使用して/etc/ssh/ssh_known_hostsを簡単にメンテナンスできるようにします。