Репозиторій відкритого ключа

Це одне з тих, "що, безумовно, це вже існує, і якщо ні, то я, напевно, краще побудувати його!" моменти.

Ось моя проблема: я керую девтема, близько 10 осіб. У кожного з нас є свій приватний ключ (и). Коли я встановлюю для нас новий сервер, я повинен імпортувати всі їх ключі. І якщо ми почнемо працювати з підрядником, я теж повинен отримати його або її ключ, а потім імпортувати і помістити його .ssh/authorized_keys на сервері.

В ідеалі я хотів би мати можливість зробити щось подібне:

import_key allegroconmolto

І він зв'яжеться з публічним сховищем відкритих ключів, перевірте, чи був користувач, що має назву allegroconmolto, і якщо так, імпортуйте їх ключ і додайте його до моїх авторизованих ключів. Додавання майбутніх користувачів буде таким самим простим, як запуск імпорту імпорту. Я міг би потім скопіювати файл authorized_keys на всі мої сервери і зробити це!

Це здається настільки очевидним, що я відчуваю, що вона обов'язково повинна існувати десь.

public-key

— tkrajcar
джерело

Як мені знати, що відкритий ключ у цьому сховищі дійсно є аллегроконмолто?

— Rhys Gibson

Будівництво самостійно буде жорстким, оскільки людям доведеться довіряти вам доставити правильні ключі. Якщо ви надаєте відкритий ключ, який відповідає відомому вам закритому ключу, ви можете легко увійти до сервера самостійно.

— Dennis

Хм, хороший момент, напевно. Я також не можу подумати про хороший шлях навколо нього. : | Я вважаю, що отримання його безпосередньо з клавіші все ще є найкращим методом.

— tkrajcar

Для цього часто використовуються сервери LDAP - ви вказуєте, якому серверу ldap, яким довіряєте, і яким особам ви довіряєте ... після чого ваші сервісні служби шукають облікові дані на сервері. Це, напевно, більше зусиль, ніж у вашому десятирічному сценарії користувача. Простий скрипт оболонки, який додає нові ключі до потрібного файлу (authrized_keys де-небудь), ймовірно, найкращий - & gt; звичайно, що скрипт оболонки чутливий ... cat & lt; emailedPublicKey & gt; & gt; somewhere / authorized_keys є розумним рішенням у вашому масштабі IMO.

Якщо ви бажаєте отримати маршрут LDAP, це допоможе вам:

Твердий сервер LDAP (на основі UMich slapd спочатку IIRC): http://openldap.org
Атрибут для сертифікатів користувача (не ігноруйте '; binary' кваліфікатор !: usercertificate; binary
Вступ до авторизації через LDAP: http://quark.humbug.org.au/publications/ldap/system_auth/sage-au/system_auth.html

Зверніть увагу, що ви не виходите з проблеми управління довірою, оскільки вам все одно доведеться вказувати, кому ви довіряєте або як визначити, кому ви довіряєте, оскільки вам потрібно або визначити відображення на сервері третьої сторони або зберегти свій власний сервер.

— Ram
джерело

Репозиторій відкритого ключа - чи існує це?