Вход по SSH без пароля по ключу на множество хостов

2

3

Здравствуйте, Хотел бы с вами посоветоваться. Имеется 20-30 одинаковых учебных ПК, Linux Centos 8. В учебных целях необходимо, чтобы ученики могли логиниться друг к другу под разными пользователями, по ключам и без пароля. То есть нужно обменяться ключами на всех ПК. В принципе задача автоматизируется, я же пошел более простым путем: так как сеть без выхода в Интернет, а строго под одну задачу (тесты и лабы + спецПО), то я сгенерировал криптопару и везде ее и раскидал в каталоги .ssh /home пользователей. Хосты же добавил в authorized_keys и known_hosts. Подскажите, а есть может быть более правильный способ это же сделать? В конечном итоге нужно, чтобы любой пользователь мог зайти на любой хост без пароля по SSH. Сейчас все работает, но может быть я чего-то не учел? Просто пользователи часто уходят и приходят, а каждому нужно закидывать в хомяк открытый и закрытый ключ, чтобы не прерывался доступ. Ну и тут я решил вопрос через подкаталог ./skel, может быть что-то есть попроще?

Спасибо.

←	Можно ли сделать из Виртуалки-Обратный Прокси Сервер всего проходящего трафика

Перестал работать локальный forward портов в клиенте open-ssh. Could not request local forwarding.

→

могу лишь добавить что есть вариант с создание центра сертификации для ssh
https://www.8host.com/blog/sozdanie-centra-sertifikacii-ssh-dlya-autentifikacii-xostov-i-klientov-na-servere-ubuntu/

pfg ★★★★★
(12.05.23 01:19:46 MSK)

Ответ на: комментарий от pfg 12.05.23 01:19:46 MSK

Чего-то не подумал в этом направлении, спасибо большое!

netvis
(12.05.23 01:22:43 MSK) автор топика

Хранить SSH ключи в LDAP

ivlad ★★★★★
(12.05.23 04:33:50 MSK)

чтобы ученики могли логиниться друг к другу под разными пользователями, по ключам и без пароля.

Это как? Если речь идёт о разных users - не надо так делать! Вы детишек очень плохому научите (это ничем не отличается от того чтобы заставлять всех работать из под одного account). Если речь идёт о «прыжках» между разными машинками под одним username - Вы реально хотите homedirs раздавать по NFS тем или иным способом, и тогда всё тривиально решается.

bugfixer ★★★★★
(12.05.23 06:56:46 MSK)
Последнее исправление: bugfixer 12.05.23 07:26:26 MSK (всего исправлений: 3)

Ответ на: комментарий от bugfixer 12.05.23 06:56:46 MSK

Да знаю, что учу плохому. ) Но я на этом акцентируюсь и отдельно проговариваю, что это - только для учебного процесса. А так - не делайте так в жизни)) Да, и дети - это студенты 3го курса)) Задача - показать детям самопальную грид систему, то есть обработку кластером небольшого объема данных. Собственно, задача предмета - придумать и разработать свою систему обработки изображения, используя обычные ПК как вычислительные ноды. А для этого стоит снять все ограничения безопасности. Что-то более серьезное развертывать не получится - очень сжатая программа по часам.))

netvis
(12.05.23 09:59:22 MSK) автор топика
Последнее исправление: netvis 12.05.23 09:59:58 MSK (всего исправлений: 1)

Если по уму, то публичные ключи должны быть разными у каждого пользователя и забираться из централизованного хранилища(чтобы руками на все компы в authorized_keys не пихать). В качестве такого хранилища может выступать LDAP.

Альтернатива, как уже подсказали, авторизация по сертификатам. Нужен свой CA

Pinkbyte ★★★★★
(12.05.23 21:43:15 MSK)

В учебных целях необходимо, чтобы ученики могли логиниться друг к другу под разными пользователями, по ключам и без пароля. То есть нужно обменяться ключами на всех ПК

Ну так пусть обмениваются в учебных целях. Не самое плохое упражнение.

t184256 ★★★★★
(12.05.23 22:30:21 MSK)

←	Можно ли сделать из Виртуалки-Обратный Прокси Сервер всего проходящего трафика

Admin

Перестал работать локальный forward портов в клиенте open-ssh. Could not request local forwarding.

→

Похожие темы