Single Sign-on für SSH mit LDAP und Kerberos einrichten
Auch ohne das Verteilen von SSH-Keys lässt sich die SSH-Anmeldung als Single Sign-on einrichten – LDAP und Kerberos vorausgesetzt.
![Single Sign-on für SSH mit LDAP und Kerberos](https://heise.cloudimg.io/width/610/q85.png-lossy-85.webp-lossy-85.foil1/_www-heise-de_/imgs/18/2/9/1/7/7/9/9/sun-74c9c0b75be0ed82.jpeg)
- Stefan Kania
Hat man bereits LDAP und Kerberos im Netz, lässt sich die SSH-Anmeldung auf mehreren Servern auch ohne Passwortabfrage einrichten – ganz ohne das Verteilen von SSH-Keys.
Das setzt aber voraus, dass alle Systeme die zentrale Benutzerverwaltung über LDAP nutzen und die Hosts und Benutzer ein Kerberos-Principal besitzen. Zudem müssen die Hostnamen von Client und Server per DNS auflösbar sein – sowohl vorwärts als auch rückwärts.
Die folgende Abbildung zeigt den Vorgang von der Benutzer- über die Hostauthentifizierung bis hin zum Single Sign-on an einem SSH-Server in einer verkürzten Form. Sie verdeutlicht, dass sich der Benutzer nur einmal mit seinem Benutzername und dem Passwort authentifizieren muss. Die Anmeldung am SSH-Server selbst geschieht anschließend über Tickets, ohne dass eine Benutzerinteraktion notwendig ist.
Das war die Leseprobe unseres heise-Plus-Artikels "Single Sign-on für SSH mit LDAP und Kerberos einrichten". Mit einem heise-Plus-Abo können sie den ganzen Artikel lesen und anhören.