Sam Bull

Asked: 2018-01-14 08:26:53 +0800 CST2018-01-14 08:26:53 +0800 CST 2018-01-14 08:26:53 +0800 CST

Restringir certificados SSH CA a usuários/grupos específicos

É possível restringir o uso de certificados de CA a usuários/principais/grupos específicos?

O caso de uso é que eu gostaria de ter 2 certificados de CA. Um seria usado como parte de um sistema automatizado para assinar as chaves do usuário. Se este certificado for comprometido, quero ter certeza de que não pode ser usado para permitir que alguém faça login em uma conta de administrador.

O outro certificado de CA obviamente seria armazenado com mais segurança (airgapped, etc.) e usado para contas de administrador.

1 respostas

Voted

Best Answer

Sam Bull
2018-01-15T05:53:55+08:002018-01-15T05:53:55+08:00
Com base no comentário de Ulrich Schwarz:

Se eu adicionar usuários normais a um endusersgrupo, posso definir o sshd_config assim:

TrustedUserCAKeys /etc/ssh/admin_ca.pub Match Group endusers TrustedUserCAKeys /etc/ssh/user_ca.pub

Isso faz com que o user_ca seja aceito apenas para usuários do endusersgrupo, enquanto o admin_ca pode ser usado para qualquer usuário.
3

Restringir certificados SSH CA a usuários/grupos específicos

Como exportar uma chave privada GPG e uma chave pública para um arquivo

ssh Não é possível negociar: "nenhuma cifra correspondente encontrada", está rejeitando o cbc

Como podemos executar um comando armazenado em uma variável?

Como configurar o systemd-resolved e o systemd-networkd para usar o servidor DNS local para resolver domínios locais e o servidor DNS remoto para domínios remotos?

Como descarregar o módulo do kernel 'nvidia-drm'?

apt-get update error no Kali Linux após a atualização do dist [duplicado]

Como ver as últimas linhas x do log de serviço systemctl

Nano - pule para o final do arquivo

erro grub: você precisa carregar o kernel primeiro

Como baixar o pacote não instalá-lo com o comando apt-get?

Restringir certificados SSH CA a usuários/grupos específicos

1 respostas

relate perguntas