Управление доступом: SSH ключи или сертификаты?
Всем привет!
Управление доступом через SSH ключи повсеместно используется. Генерируем ключевую пару, помещаем открытый ключ на рабочую станцию и все работает.
Но как быть, если таких рабочих станций сотни? Да, можно использовать средства автоматизации для распределения ключей, но рано или поздно это превратится в кошмар. В том числе понимание того «кто имеет доступ и куда», нюансы ротации ключей и т.д.
А что, если попробовать использовать не SSH ключи, но SSH-сертификаты? В теории это может решить проблемы, описанные выше. Именно этому посвящена статья.
Идея в том, чтобы:
🍭 Создать сервис, который будет выпускать недолго живущие сертификаты
🍭 Пользователь запрашивает такой сертификат. 🍭 Сервис решает можно ли его выдавать
Получив сертификат, пользователь инициирует SSH соединение с целевым хостом
🍭 SSH daemon хоста проверяет валидность сертификата, осуществляется проверка прав подключения
🍭 Пользователь получает доступ
Больше деталей о том, как это работает и что именно предлагает Автор можно найти в статье.
В этом сценарии получаем централизованное решение, которое позволит точечно управлять доступом и не беспокоиться о том, что «что-то забыли удалить».
А что вы думаете? Имеет ли такой механизм место быть или лучше использовать «привычные» подходы?
>>Click here to continue<<
