Две факторных аутентификации SSH на нескольких серверах
Я - новичок когда дело доходит до Двухфакторной аутентификации. У меня есть общее представление реализовать двухфакторную аутентификацию на единственном сервере. Но я задавался вопросом, существует ли стандартное решение для реализации его на нескольких серверах.
СЦЕНАРИЙ:
Так, там набор *отклоняет машины (приблизительно 50), для которых я хочу включить двухфакторную аутентификацию. Если я включаю 2 факторным использованиям аутентификации SSH аутентификатор Google (https://www.digitalocean.com/community/tutorials/how-to-protect-ssh-with-two-factor-authentication) на всех машинах, это не походит на хорошую идею генерировать и отслеживать отдельные подлинные коды. Есть ли любой способ, которым я могу упростить целый процесс.
EX:
Существует ли способ, которым я могу использовать две факторных аутентификации SSH однажды и передать ее с моими запросами ssh ко всем машинам? Как машина прокси, которая может обработать OAuth для отдыха моего стека? Также есть ли существующие системы/программное обеспечение/сервисы на месте, которые, может сделать реализацию легче? Я открыт для новых архитектурных проектов также.
Заранее спасибо!
PS:
Мы в настоящее время используем основанную на ssh-ключе аутентификацию на всех наших машинах
Если вашей основной целью является однократная аутентификация и получение доступа ко всем вашим машинам без повторной аутентификации, вы можете использовать аутентификацию на основе ключей с вашего промежуточного хоста: https: // www .digitalocean.com / community / tutorials / how-to-configure-ssh-key-based-authentication-on-a-linux-server .
(Приносим извинения, если вы уже знали об этой опции.)
Если у вас изолированная сеть (никто не может использовать вашу подсеть), вы можете отключить публичный доступ по SSH для всех машин (назовем их частными машинами), кроме одной / двух машин (публичные машины ).
Общедоступные машины имеют двухфакторную аутентификацию.
Частные машины не имеют двухфакторной аутентификации. Порт SSH частных машин доступен только с определенного IP-адреса (например, вашей подсети или IP-адреса общедоступных машин).
Этот способ обычно используется в среде AWS с публично-частной подсетью. Экземпляры только с частным IP-адресом доступны только из экземпляров, имеющих общий доступ.
Итак, когда вы хотите получить доступ к своим частным машинам, вам нужно сначала войти на общедоступную машину. А затем оттуда вы можете войти в систему на любых машинах.