超级会员免费看
深入探索SSH认证与Tectia配置扩展
1. SSH与GSS安全机制
SSH能够自动采用新的GSS安全机制,无需额外的标准制定工作。例如,Tectia Windows Server可通过GSSAPI提供Kerberos和NTLM用户认证。相关的SSH协议草案为“GSSAPI Authentication and Key Exchange for the Secure Shell Protocol”(draft - ietf - secsh - gsskeyex)。
几年前,这一领域还在不断发展,只有一些补丁和实验性的实现。如今,它已趋于成熟,存在于多个主流SSH产品和平台中,像OpenSSH、OS X以及Windows和Unix系统上的Tectia。这与Kerberos的广泛应用相契合,而且令人惊喜的是,它们大多能实现互操作性。借助Kerberos,现在可以在不同的操作系统和SSH组合中实现强大的认证和单点登录。
相较于使用SSH公钥认证和ssh - agent实现类似功能,Kerberos有两大优势。一方面,对于大型组织而言,它在集中管理和可扩展性方面表现出色;另一方面,公钥认证是SSH特有的。为了使用公钥认证,需要教会用户生成密钥、使用代理、启用代理转发等,而最终得到的解决方案仅适用于SSH。比如,在Windows机器上登录域账户后通过SSH连接到另一台机器,公钥认证可能允许登录,但在访问网络共享等资源时仍需重新输入密码,因为Windows域凭据无法通过SSH传递。而Kerberos允许将登录时使用的凭据转发到远程主机并用于其他用途,并且由于Kerberos是一种标准,从Windows到Unix主机也能实现这一点,提供了更广泛且实用的单点登录系统。
订阅专栏 解锁全文
扫一扫
29
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
