centralizovana distribuce verejnych klicu

[cipis]

nevim jestli to patri vic sem nebo do fora o unixu,ale snad mi pomuzete.
Znate nejaky zpusob jak automaticky distribuovat a spravovat ssh verejne klice?
Moje predstava je takova, ze si nadefinuju seznam uzivatelu s jejich klicem, seznam serveru a pak priradim k jednotlivym serverum urcite uzivatele (klice). Pak spustim distribuci a na servery se mi nakopiruji prislusne authorized_keys.
Kdyby to melo i check vzdalenych authorized_keys proti stavu jak by to melo podle me definice bylo by to uplne idealni.

Ptam se jestli o necem takovem nevite, nez to zacnu sam delat. zkousel jsem neco vygooglit,ale bez uspechu.

[sasha]

http://meinit.nl/distribute-ssh-keys-easily
http://sial.org/howto/openssh/publickey-auth/#s2.2
http://arco.esi.uclm.es/~david.villa...etup.html#s2.2

[monsoon]

Budiz, napsat takovy skriptik je otazka chvile, ale prijde mi to trochu jak drbani se nohou na za uchem.
Nejsou na tohle nahodou specialni protokoly jako Kerberos, TACACS, LDAP?

[sasha]

ano je na to neco cemu se rika PKI ale to se zabyva i distribuci privatnich klicu

kerberos pokud vim neprenasi certifikat, nebo publik key, ty protokoly, ktere jsi pospsal jsou authentizacni protokoly, hm ted bych kecal ale kerberos i authorizacni,

pr pki:
1/ certifikacni autorita spojena s active directory
v AD je 1 - n templejtu ktere rikaji kdo a o jaky certifikat si muze zazadat. uzivatel nebo CA vygeneruje key pair a podpise certifikat (public key) a posle ho (pripadne s privatnim klicem) uzivateli (nebo pocitatci) zaroven publikuje certifikat do AD takze je tam k dispozici tem authentizacnim protokolum, ktere jsi popsal. Takze pokud potrebujes overti pravost verejneho klice - certifikatu pokud je podepsany CA tak to probiha v nekolika urovnich ci stepech
- je cert validni (od do)
- neni revokovany? (CRL authority) - CRL je take distribuovano do AD a nebo ma sve cpecificke umisteni, ktere je popsane ve specificke polozce certifikatu
- odpovida seriove cislo, hash, common name?

certifikat samo nemusis publikovat jen do AD muze byt posilan do LDAPu a nebo je v LDAPu pokud je spojeny s AD...
takze pak je na nastaveni applikace, serveru, pc, routeru, cehokoliv co pouziva certifikat, kam si sahne ho overit.

jinak je kupa a kupa protokolu, ktere umoznuji zadat o certifikat CA (nemusi byt MS CA = neni integrovana v AD)

[Jezevec]

2monsoon: IMO trochu kanon na vrabce, zalezi co od toho chces, ale pokud ti jde o jednotky/desitky stroju a "par" osob, je asi daleko jednodussi se LDAP a dalsim vecem vyhnout.

[sasha]

no tak nainstalovat sun directory server je to nejmensi ale Jezevec ma urcite pravdu v tom, ze pro malou firmu (pokud nepouziva certifikaty pro autentikaci a pro podepisovani mejlu) a nebo domaci ucely vytvaret takove framework je drbani sesti nohama za uchem a v nosu, takze ten skriptik bude lepsi obzvlaste mali to byt jen pro ssh