centralizovana distribuce verejnych klicu

nevim jestli to patri vic sem nebo do fora o unixu,ale snad mi pomuzete.
Znate nejaky zpusob jak automaticky distribuovat a spravovat ssh verejne klice?
Moje predstava je takova, ze si nadefinuju seznam uzivatelu s jejich klicem, seznam serveru a pak priradim k jednotlivym serverum urcite uzivatele (klice). Pak spustim distribuci a na servery se mi nakopiruji prislusne authorized_keys.
Kdyby to melo i check vzdalenych authorized_keys proti stavu jak by to melo podle me definice bylo by to uplne idealni.

Ptam se jestli o necem takovem nevite, nez to zacnu sam delat. zkousel jsem neco vygooglit,ale bez uspechu.

http://meinit.nl/distribute-ssh-keys-easily
http://sial.org/howto/openssh/publickey-auth/#s2.2
http://arco.esi.uclm.es/~david.villa...etup.html#s2.2

Budiz, napsat takovy skriptik je otazka chvile, ale prijde mi to trochu jak drbani se nohou na za uchem.
Nejsou na tohle nahodou specialni protokoly jako Kerberos, TACACS, LDAP?

ano je na to neco cemu se rika PKI ale to se zabyva i distribuci privatnich klicu

kerberos pokud vim neprenasi certifikat, nebo publik key, ty protokoly, ktere jsi pospsal jsou authentizacni protokoly, hm ted bych kecal ale kerberos i authorizacni,

pr pki:
1/ certifikacni autorita spojena s active directory
v AD je 1 - n templejtu ktere rikaji kdo a o jaky certifikat si muze zazadat. uzivatel nebo CA vygeneruje key pair a podpise certifikat (public key) a posle ho (pripadne s privatnim klicem) uzivateli (nebo pocitatci) zaroven publikuje certifikat do AD takze je tam k dispozici tem authentizacnim protokolum, ktere jsi popsal. Takze pokud potrebujes overti pravost verejneho klice - certifikatu pokud je podepsany CA tak to probiha v nekolika urovnich ci stepech
- je cert validni (od do)
- neni revokovany? (CRL authority) - CRL je take distribuovano do AD a nebo ma sve cpecificke umisteni, ktere je popsane ve specificke polozce certifikatu
- odpovida seriove cislo, hash, common name?

certifikat samo nemusis publikovat jen do AD muze byt posilan do LDAPu a nebo je v LDAPu pokud je spojeny s AD...
takze pak je na nastaveni applikace, serveru, pc, routeru, cehokoliv co pouziva certifikat, kam si sahne ho overit.

jinak je kupa a kupa protokolu, ktere umoznuji zadat o certifikat CA (nemusi byt MS CA = neni integrovana v AD)

2monsoon: IMO trochu kanon na vrabce, zalezi co od toho chces, ale pokud ti jde o jednotky/desitky stroju a "par" osob, je asi daleko jednodussi se LDAP a dalsim vecem vyhnout.

no tak nainstalovat sun directory server je to nejmensi ale Jezevec ma urcite pravdu v tom, ze pro malou firmu (pokud nepouziva certifikaty pro autentikaci a pro podepisovani mejlu) a nebo domaci ucely vytvaret takove framework je drbani sesti nohama za uchem a v nosu, takze ten skriptik bude lepsi :) obzvlaste mali to byt jen pro ssh