超级会员免费看
SSH认证与Tectia配置:Kerberos与服务器配置解析
1. SSH与Kerberos认证概述
SSH能够自动采用新的GSS安全机制,无需额外的标准工作。例如,Tectia Windows Server可通过GSSAPI提供Kerberos和NTLM用户认证。相关的SSH协议草案为“GSSAPI Authentication and Key Exchange for the Secure Shell Protocol”(draft - ietf - secsh - gsskeyex)。
几年前,这一领域还处于发展阶段,只有一些补丁和实验性实现。如今,它已成熟,并且存在于多个主流SSH产品和平台中,如OpenSSH、OS X以及Windows和Unix上的Tectia。这与Kerberos的广泛应用相契合,而且大多数情况下,这些系统都能实现互操作。借助Kerberos,现在可以在各种操作系统和SSH组合中实现强大的认证和单点登录。
与使用ssh - agent的SSH公钥认证相比,Kerberos有两个显著优势。一是对于大型组织而言,Kerberos更便于集中管理和扩展;二是公钥认证是SSH特有的,用户需要学习生成密钥、使用代理、启用代理转发等操作,且最终的解决方案仅适用于SSH。例如,登录Windows机器的域账户后,再通过SSH连接到另一台机器,公钥认证虽能让用户登录,但在访问网络共享等资源时仍需再次输入密码,因为Windows域凭证无法通过SSH传递。而Kerberos允许将登录凭证转发到远程主机并用于其他目的,并且由于Kerberos是标准协议,从Windows到Unix主机的连接也能实现同样的功能,从而提供了更广泛、实用的单点登录系统。
订阅专栏 解锁全文
扫一扫
9
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
