Single Sign-on für SSH mit LDAP und Kerberos

Mitgenommen

Stefan Kania

Auch ohne das Verteilen von SSH-Keys lässt sich die SSH-Anmeldung als Single Sign-on einrichten, LDAP und Kerberos vorausgesetzt.

Hat man bereits LDAP und Kerberos im Netz, lässt sich die SSH-Anmeldung auf mehreren Servern auch ohne Passwortabfrage einrichten – ganz ohne das Verteilen von SSH-Keys. Das setzt aber voraus, dass alle Systeme die zentrale Benutzerverwaltung über LDAP nutzen und die Hosts und Benutzer ein Kerberos-Principal besitzen. Zudem müssen die Hostnamen von Client und Server per DNS auflösbar sein – sowohl vorwärts als auch rückwärts.

Die Abbildung zeigt den Vorgang von der Benutzer- über die Hostauthentifizierung bis hin zum Single Sign-on an einem SSH-Server in einer verkürzten Form. Sie verdeutlicht, dass sich der Benutzer nur einmal mit seinem Benutzername und dem Passwort authentifizieren muss. Die Anmeldung am SSH-Server selbst geschieht anschließend über Tickets, ohne dass eine Benutzerinteraktion notwendig ist.

Angebot auswählen und weiterlesen

Bereits abonniert? Hier anmelden

Ein Abo, alle Magazine: c't, iX, Mac & i, Make & c't Fotografie

Das digitale Abo für IT und Technik.

Alle heise-Magazine im Browser und als PDF
Alle exklusiven heise+ Artikel frei zugänglich
heise online mit weniger Werbung lesen
Vorteilspreis für Magazin-Abonnenten

Jetzt unbegrenzt weiterlesen Vierwöchentliche Abrechnung.

Nach Testphase 2,60 € wtl.

Zugriff auf alle iX-Magazine
PDF-Ausgaben zum Herunterladen
Zugriff in der iX-App für unterwegs
Über 35% günstiger im Testzeitraum

Jetzt testen Nach Testphase jederzeit monatlich kündbar.

Diese Ausgabe lesen – ohne Abobindung

Single Sign-on für SSH mit LDAP und Kerberos

Mitgenommen

Angebot auswählen und weiterlesen

Alle heise-Magazine mit heise+ lesen

Das digitale Abo für IT und Technik.

Alle Ausgaben freischalten

Ausgabe einmalig freischalten