Single Sign-on für SSH mit LDAP und Kerberos einrichten

Auch ohne das Verteilen von SSH-Keys lässt sich die SSH-Anmeldung als Single Sign-on einrichten – LDAP und Kerberos vorausgesetzt.

Lesezeit: 3 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 9 Beiträge
Von
Inhaltsverzeichnis

Hat man bereits LDAP und Kerberos im Netz, lässt sich die SSH-Anmeldung auf mehreren Servern auch ohne Passwortabfrage einrichten – ganz ohne das Verteilen von SSH-Keys.

Das setzt aber voraus, dass alle Systeme die zentrale Benutzerverwaltung über LDAP nutzen und die Hosts und Benutzer ein Kerberos-Principal besitzen. Zudem müssen die Hostnamen von Client und Server per DNS auflösbar sein – sowohl vorwärts als auch rückwärts.

Die folgende Abbildung zeigt den Vorgang von der Benutzer- über die Hostauthentifizierung bis hin zum Single Sign-on an einem SSH-Server in einer verkürzten Form. Sie verdeutlicht, dass sich der Benutzer nur einmal mit seinem Benutzername und dem Passwort authentifizieren muss. Die Anmeldung am SSH-Server selbst geschieht anschließend über Tickets, ohne dass eine Benutzerinteraktion notwendig ist.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

  • Zugriff auf alle Inhalte von heise+
  • exklusive Tests, Ratgeber & Hintergründe: unabhängig, kritisch fundiert
  • c't, iX, Technology Review, Mac & i, Make, c't Fotografie direkt im Browser lesen
  • einmal anmelden – auf allen Geräten lesen - monatlich kündbar
  • erster Monat gratis, danach monatlich 9,95 €
  • Wöchentlicher Newsletter mit persönlichen Leseempfehlungen des Chefredakteurs
GRATIS-Monat beginnen Jetzt GRATIS-Monat beginnen Mehr Informationen zu heise+