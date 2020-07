Single Sign-on für SSH mit LDAP und Kerberos Mitgenommen Stefan Kania Auch ohne das Verteilen von SSH-Keys lässt sich die SSH-Anmeldung als Single Sign-on einrichten, LDAP und Kerberos vorausgesetzt.

Hat man bereits LDAP und Kerberos im Netz, lässt sich die SSH-Anmeldung auf mehreren Servern auch ohne Passwortabfrage einrichten – ganz ohne das Verteilen von SSH-Keys. Das setzt aber voraus, dass alle Systeme die zentrale Benutzerverwaltung über LDAP nutzen und die Hosts und Benutzer ein Kerberos-Principal besitzen. Zudem müssen die Hostnamen von Client und Server per DNS auflösbar sein – sowohl vorwärts als auch rückwärts.

Die Abbildung zeigt den Vorgang von der Benutzer- über die Hostauthentifi­zierung bis hin zum Single Sign-on an ­einem SSH-Server in einer verkürzten Form. Sie verdeutlicht, dass sich der Benutzer nur einmal mit seinem Benutzername und dem Passwort authentifizieren muss. Die Anmeldung am SSH-Server selbst geschieht anschließend über Tickets, ohne dass eine Benutzerinteraktion notwendig ist.