SSH 认证与 Tectia 配置详解
1. SSH 与 GSS 安全机制
SSH 能够自动采用新的 GSS 安全机制,无需进一步的标准工作。例如,Tectia Windows Server 通过 GSSAPI 提供 Kerberos 和 NTLM 用户认证。相关的 SSH 协议草案是 “GSSAPI Authentication and Key Exchange for the Secure Shell Protocol”(draft - ietf - secsh - gsskeyex)。
几年前,这个领域还处于发展阶段,只有一些补丁和实验性的实现。如今,它已经成熟,并存在于多个主流 SSH 产品和平台中,包括 OpenSSH、OS X 以及 Windows 和 Unix 上的 Tectia。这与 Kerberos 的广泛应用相契合。令人惊讶的是,它们大多可以互操作,现在可以使用 Kerberos 在各种 OS/SSH 组合中实现强认证和单点登录。
与使用 ssh - agent 的 SSH 公钥认证相比,Kerberos 有两个优势。一是对于大型组织的集中管理和可扩展性问题,我们之前已经讨论过。另一个重要的点是,公钥认证是 SSH 特定的。你需要费力地教导人们如何生成密钥、使用代理、启用代理转发等,但最终得到的解决方案仅适用于 SSH。例如,你登录到 Windows 机器的域账户,然后通过 SSH 连接到另一台机器。公钥认证可能会让你登录,但在访问网络共享等资源时,你可能需要再次输入密码,因为你的 Windows 域凭证不会通过 SSH 跟随你。而使用 Kerberos,允许登录的相同凭证可以转发到远程主机并用于其他目的。由于 Kerberos 是标准协议,从 Windows
