Discussion :

[simounth]

Bonjour,

Je cherche une solution pour centraliser la gestion des clefs ssh:

Un utilisateur à le droit de se logguer à plusieurs serveurs en ssh, le problème est que l'on aimerait ne pas avoir à déposer la clef publique de l'utilisateur sur chacun des serveurs.

J'ai pensé à une solution:
L'utilisateur veut se connecter en ssh au serveur B
La clef de l'utilisateur a été déposée sur le serveur A.
Le serveur A a le droit de se connecter au serveur B (clef sans passphrase)
(Je me sers du serveur A comme serveur de rebond et je gère donc les clefs utilisateurs que sur ce serveur)

Avec putty, je lance une connection sur le serveur A, qui lui lance une connection sur le serveur B.
Pour l'instant tout va bien.

Le problème est que j'avais pensé déposer la clef publique du serveur A sur tous les serveurs. Mais cela implique que l'on ne pourra pas maitriser l'accès de l'utilisateur aux serveurs:
Une fois que l'utilisateur sera connecté au serveur A, il aura accès à tous les serveurs..

Je cherche donc une solution pour gérer l'accès des utilisateurs sur certains serveurs mais je ne sais pas comment y parvenir.

Existe-t-il une autre solution de centralisation des clefs SSH?

Je vous remercie d'avance pour vos réponses.

Simounth

[frp31]

pour des raisons évidentes, tout centralisation de clefs est stupide si on a besoin d'un niveau normal de sécurité.

le plus simple si on veut pas utiliser de système de clefs, est la connexion par password.

[thierry.chich]

Il existe un mécanisme utilisant le ldap pour faire la distribution des clés.

[gangsoleil]

Bonjour,

Ce que tu cherches a faire, ca s'appelle du Single Sign On (SSO) avec de la gestion de droits.

Sinon, peux-tu expliquer pourquoi tu ne veux pas deposer la clef publique de l'utilisateur sur les serveurs sur lesquels il a le droit de se connecter ?

Si je te pose cette question, c'est parce que, en imaginant que tu mettes un serveur de rebond avec authentification, qu'est-ce qui empeche un utilisateur de mettre sa clef publique sur les serveurs une fois la premiere connexion etablie, lui permettant ainsi de ne plus passer par ton serveur central ?

[hercaud]

Je dirais que la solution passe A LA FOIS par le serveur de rebond (ou bastion selon certains) ET aussi par la mise en place de TCP WRAPPERS. Comme ça, seul le serveur de rebond sera autorisé à entrer par le port SSH (22 ou - pk. pas - un autre)