S: Public Key, Private Key Zentral lagern

djonny

Addicted

Registered: Oct 2008
Location: Bgld/W
Posts: 593

12.01.2011 - 16:26

Ich hoffe ich schreiben im richtigen Forum ansonsten bitte verschieben.

Wie oben schon geschrieben suche ich eine Software die Public Keys für Server verwaltet.

Das Problem ist das ich mehrere Server betreue ob nun in Rechenzentren oder in Firmen. Vorweg bei diesen Servern handelt es sich meist um Debian, CentOS Servern

Auf diese Server haben mehrere Benutzer SSH Zugriff. Mein Problem ist aber das wenn jetzt ein neuer Server kommt muss ich immer alle Public Keys kopieren.

Ich suche jetzt einen Software bzw. kann auch ein eigener Server werden. Der mir die Keys verwaltet wo ich dann zB einen neuen Server hinzufügen kann und Sag:

Server1: A, B, C haben Zugriff
Server2: B, C, D haben Zugriff
Server3: A, B, C, D haben Zugriff

____________________________________________

Des Weiteren suche ich noch eine Möglichkeit Private Keys auf einen USB Stick zu speichern und automatisch beim einhängen von den USB Stick benutzt wird.
Hintergrund ist dieser das man auch manchmal von einen anderen PC auf einen Server muss und wenn man dann den Key nicht hat ist das ein bisschen blöd

Smut

takeover & ether

Registered: Feb 2003
Location: VIE
Posts: 16637

12.01.2011 - 16:49

hm ansich kann das z.b. putty unter windows. (auch am USB)
da hab ich einfach den key des servers in den saved sessions abgelegt.

aber ganz klar ist es mir jetzt nicht ob du einen client benötigst der das kann oder ob du eine software suchst die dir das administrative abnimmt. also die keys anlegt und die SSH user am entsprechenden server anlegt.

Bearbeitet von Smut am 12.01.2011, 17:32

quilty

Ich schau nur

Registered: Jul 2005
Location: 4202
Posts: 2936

12.01.2011 - 16:54

Ich glaube eher, dass er eine (abgespeckte) PKI will.

djonny

Addicted

Registered: Oct 2008
Location: Bgld/W
Posts: 593

12.01.2011 - 16:57

Ich suche 2 Programme, eine die mir die SSH User am Server anlegt und verwaltet.
und Nr. 2 die mir den Private Key auf den USB Stick gibt und den ich überall verwenden kann von jedem PC aus

Das mit Putty weiß ich allerdings ist das Problem das ich die meiste Zeit auf Linux arbeite also wenn dann benötige ich die Windows und Linux Version von Putty auf den Stick inkl Private Key

djonny

Addicted

Registered: Oct 2008
Location: Bgld/W
Posts: 593

12.01.2011 - 17:02

Zitat von quilty
Ich glaube eher, dass er eine (abgespeckte) PKI will.

genau das war das Stichwort sowas in der Art suche ich aber im Kleinformat

watchout

Legend
undead

Registered: Nov 2000
Location: Off the grid.
Posts: 6845

12.01.2011 - 17:20

Den private-key aufs USB LW zu legen musst wahrscheinlich schon selbst machen (wirst nehm ich an grad noch hinbekommen), verwenden kannst du ihn dann zB. mit openssh mit dem argument '-i <pfad>'

Und für 1 denke ich du suchst etwas wie Kerberos (http://de.wikipedia.org/wiki/Kerberos_%28Informatik%29) oder LDAP (http://de.wikipedia.org/wiki/LDAP)

djonny

Addicted

Registered: Oct 2008
Location: Bgld/W
Posts: 593

12.01.2011 - 23:40

Danke für die vielen Antworten ich werd mir jetzt mal LDAP und Kerberos ansehen

semteX

Risen from the banned

Registered: Oct 2002
Location: Pre
Posts: 14342

13.01.2011 - 00:00

ldap is sicher ein schmerzfreier weg, kerberos bietet weit mehr möglichkeiten

COLOSSUS

Administrator
Frickler

Registered: Dec 2000
Location: ~
Posts: 11904

13.01.2011 - 14:04

Es gibt LDAP-Schemata und Patches fuer OpenSSH, um einen pubkey im Directory unterzubringen. Ueblich ist das (leider) nicht. Kerberos und Authentifikation via GSSAPI (meist KRB5) ist eine andere Geschichte, die oft in Verbindung mit LDAP auftritt, aber fuer sich genommen eine ganz eigene Baustelle ist.

Pubkey-Rollouts macht man idR ueber ein entsprechend preseedetes Master-Image, oder durch eine Configuration Management-Software wie cfengine oder Puppet (zumindest letzteres benoetigt eine SSL-PKI).

Fuer die USB-Stick-Geschichte wuerde es sich anbieten, beim Login eines Users eine Instanz von ssh-agent zu starten und dann, beim (left as an exercise for the reader

) oder nach dem Mounten des Datentraegers mittels ssh-add diese Identity in den Agent zu laden. Dann kann man sich bei allen Hosts, die deren Pubkey entsprechend eingetragen haben, passwortlos anmelden.

Ich selber habe mir auf einem (mit Debian betriebenen) Embedded-Geraet eine Keyvault eingerichtet. Die Dateisysteme auf den Datentraegern sind verschluesselt, und man kann sich via Passwort auf dem Geraet anmelden. Es beinhaltet all meine privaten Keys (ihrerseits nochmal symmetrisch via Passphrase verschluesselt), und ueber diesen "Gateway" kann ich all meine anderen Hosts (die nur SSH-Pubkey-Auth und keine Passwoerter erlauben) erreichen bzw. administrieren.

djonny Addicted Registered: Oct 2008 Location: Bgld/W Posts: 593	12.01.2011 - 16:26 Ich hoffe ich schreiben im richtigen Forum ansonsten bitte verschieben. Wie oben schon geschrieben suche ich eine Software die Public Keys für Server verwaltet. Das Problem ist das ich mehrere Server betreue ob nun in Rechenzentren oder in Firmen. Vorweg bei diesen Servern handelt es sich meist um Debian, CentOS Servern Auf diese Server haben mehrere Benutzer SSH Zugriff. Mein Problem ist aber das wenn jetzt ein neuer Server kommt muss ich immer alle Public Keys kopieren. Ich suche jetzt einen Software bzw. kann auch ein eigener Server werden. Der mir die Keys verwaltet wo ich dann zB einen neuen Server hinzufügen kann und Sag: Server1: A, B, C haben Zugriff Server2: B, C, D haben Zugriff Server3: A, B, C, D haben Zugriff ____________________________________________ Des Weiteren suche ich noch eine Möglichkeit Private Keys auf einen USB Stick zu speichern und automatisch beim einhängen von den USB Stick benutzt wird. Hintergrund ist dieser das man auch manchmal von einen anderen PC auf einen Server muss und wenn man dann den Key nicht hat ist das ein bisschen blöd
Smut takeover & ether Registered: Feb 2003 Location: VIE Posts: 16637	12.01.2011 - 16:49 hm ansich kann das z.b. putty unter windows. (auch am USB) da hab ich einfach den key des servers in den saved sessions abgelegt. aber ganz klar ist es mir jetzt nicht ob du einen client benötigst der das kann oder ob du eine software suchst die dir das administrative abnimmt. also die keys anlegt und die SSH user am entsprechenden server anlegt. Bearbeitet von Smut am 12.01.2011, 17:32
quilty Ich schau nur Registered: Jul 2005 Location: 4202 Posts: 2936	12.01.2011 - 16:54 Ich glaube eher, dass er eine (abgespeckte) PKI will.
djonny Addicted Registered: Oct 2008 Location: Bgld/W Posts: 593	12.01.2011 - 16:57 Ich suche 2 Programme, eine die mir die SSH User am Server anlegt und verwaltet. und Nr. 2 die mir den Private Key auf den USB Stick gibt und den ich überall verwenden kann von jedem PC aus Das mit Putty weiß ich allerdings ist das Problem das ich die meiste Zeit auf Linux arbeite also wenn dann benötige ich die Windows und Linux Version von Putty auf den Stick inkl Private Key
djonny Addicted Registered: Oct 2008 Location: Bgld/W Posts: 593	12.01.2011 - 17:02 Zitat von quilty Ich glaube eher, dass er eine (abgespeckte) PKI will. genau das war das Stichwort sowas in der Art suche ich aber im Kleinformat
watchout Legend undead Registered: Nov 2000 Location: Off the grid. Posts: 6845	12.01.2011 - 17:20 Den private-key aufs USB LW zu legen musst wahrscheinlich schon selbst machen (wirst nehm ich an grad noch hinbekommen), verwenden kannst du ihn dann zB. mit openssh mit dem argument '-i <pfad>' Und für 1 denke ich du suchst etwas wie Kerberos (http://de.wikipedia.org/wiki/Kerberos_%28Informatik%29) oder LDAP (http://de.wikipedia.org/wiki/LDAP)
djonny Addicted Registered: Oct 2008 Location: Bgld/W Posts: 593	12.01.2011 - 23:40 Danke für die vielen Antworten ich werd mir jetzt mal LDAP und Kerberos ansehen
semteX Risen from the banned Registered: Oct 2002 Location: Pre Posts: 14342	13.01.2011 - 00:00 ldap is sicher ein schmerzfreier weg, kerberos bietet weit mehr möglichkeiten
COLOSSUS Administrator Frickler Registered: Dec 2000 Location: ~ Posts: 11904	13.01.2011 - 14:04 Es gibt LDAP-Schemata und Patches fuer OpenSSH, um einen pubkey im Directory unterzubringen. Ueblich ist das (leider) nicht. Kerberos und Authentifikation via GSSAPI (meist KRB5) ist eine andere Geschichte, die oft in Verbindung mit LDAP auftritt, aber fuer sich genommen eine ganz eigene Baustelle ist. Pubkey-Rollouts macht man idR ueber ein entsprechend preseedetes Master-Image, oder durch eine Configuration Management-Software wie cfengine oder Puppet (zumindest letzteres benoetigt eine SSL-PKI). Fuer die USB-Stick-Geschichte wuerde es sich anbieten, beim Login eines Users eine Instanz von ssh-agent zu starten und dann, beim (left as an exercise for the reader ) oder nach dem Mounten des Datentraegers mittels ssh-add diese Identity in den Agent zu laden. Dann kann man sich bei allen Hosts, die deren Pubkey entsprechend eingetragen haben, passwortlos anmelden. Ich selber habe mir auf einem (mit Debian betriebenen) Embedded-Geraet eine Keyvault eingerichtet. Die Dateisysteme auf den Datentraegern sind verschluesselt, und man kann sich via Passwort auf dem Geraet anmelden. Es beinhaltet all meine privaten Keys (ihrerseits nochmal symmetrisch via Passphrase verschluesselt), und ueber diesen "Gateway" kann ich all meine anderen Hosts (die nur SSH-Pubkey-Auth und keine Passwoerter erlauben) erreichen bzw. administrieren.

S: Public Key, Private Key Zentral lagern

Forum Index > Software > Linux and other OS

djonny

Smut

quilty

djonny

djonny

watchout

djonny

semteX

COLOSSUS