Flüchtige SSH-Schlüssel mit opkssh und OpenID Connect generieren
Single Sign-on für SSH nachrüsten: Mit opkssh knüpft man flüchtige SSH-Schlüssel an Identitäten und erleichtert so die Schlüsselverwaltung.
(Bild: Jessica Nachtigall / KI / heise medien)
Organisationen, in denen viele Menschen SSH-Zugriff auf Linux-Server benötigen, haben ein Problem: Nutzer und Administratoren müssen die dafür erforderlichen Schlüssel oft in Handarbeit erstellen, verteilen, verwalten und rechtzeitig wieder deaktivieren. Schließlich sollen immer nur die Nutzer Zugriff bekommen, die wichtige Arbeit auf dem Server erledigen. Dieses Prozedere ist nicht nur nervig und unübersichtlich, sondern auch ein potenzielles Sicherheitsrisiko. Vielleicht wird das Notebook einer Entwicklerin durch Malware kompromittiert, vielleicht will sich ein frustrierter Ex-Mitarbeiter rächen, der eigentlich längst keinen Zugriff mehr haben sollte.
- Mit opkssh generieren Sie flüchtige SSH-Schlüssel, die wie Zertifikate funktionieren.
- Organisationen können ihr SSH-Management mit bestehenden Single-Sign-on-Lösungen verbinden und den SSH-Zugriff zentral verwalten.
- Ist opkssh installiert und konfiguriert, müssen Nutzer und Administratoren nicht mehr länger langlebige SSH-Schlüssel erstellen, verteilen und umziehen.
Gleichzeitig gibt es in Unternehmen den Trend, die Nutzerverwaltung und Authentifizierung für diverse hauseigene und angemietete Webdienste an Identity-Provider wie Google Identity oder Microsoft Entra ID auszulagern. Dank Single Sign-on gibt es dann ein Login für sämtliche Dienste. Nutzer melden sich bei einem Identity-Provider an und bekommen dort ein Token ausgestellt, mit dem sie ihre Identität bei weiteren Diensten nachweisen. Im Hintergrund werkelt dabei meist das Protokoll OpenID Connect (OIDC) und überträgt signierte Daten, wie den Namen, die E-Mail-Adresse oder die Gruppenzugehörigkeit eines Nutzers.
Wäre es nicht praktisch, wenn man SSH-Schlüssel ebenfalls an Identitäten knüpfen und sich das Jonglieren der Schlüssel sparen könnte? Vorhang auf für OpenPubkey und dessen Erweiterung OpenPubkey SSH (opkssh).
Das war die Leseprobe unseres heise-Plus-Artikels "Flüchtige SSH-Schlüssel mit opkssh und OpenID Connect generieren". Mit einem heise-Plus-Abo können Sie den ganzen Artikel lesen.
