Действительно ли возможно иметь ssh открытый ключ id_dsa.pub сохраненный на централизованном сервере
Это сильно зависит от компании, на которую Вы работаете.
С технической точки зрения существует много решений и почти всего, что не включает отказ оборудования, или с общей сетевой аварией можно иметь дело удаленно.
Другим решением были бы экспортируемые ресурсы и марионетка.
Процедура
- поместите общественность ssh включают марионеточный сервер
- настройте экспортируемые ресурсы для размещения файла в
$HOME/.ssh/authorized_keys - соберите ключи на всех других полях
Это требует централизованной марионеточной инфраструктуры с сервером. Экспортируемые ресурсы только доступны с марионеточным сервером (который по совпадению является установкой по умолчанию почти во всех практических руководствах и документации),
Ссылки
- http://docs.puppetlabs.com/guides/exported_resources.html
- http://projects.puppetlabs.com/projects/puppet/wiki/Module_Ssh_Auth_Patterns
Я предпочел бы, чтобы по исправлению SSH, так как можно работать с Вами, дистрибутив по умолчанию упаковал этот путь, не имея необходимость обращаться к Вам пакет (который затем представляет проблему установки этого на всех хостах, даже с репозиторием, который необходимо настроить конфетку или склонный знать об этом).
Марионетка также требует касания каждого хоста. Но только в один раз, после этого можно управлять всем от Вас рабочая станция. И да: это могло быть сделано с шеф-поваром, bcfg2 или cfengine (или воображение ssh для цикла), мне просто, оказывается, нравится марионетка больше, чем другие опции.
Также: Это не 5 минуты, и я - сделанное решение. Но после того как Вы управляете своими хостами, Вы будете aks сами, почему все это запустилось с ssh ключей, Вы не должны будете входить в систему, в конце концов (в идеальном мире)
Править: Просто читайте в комментарии выше/ниже (в зависимости от Вашей сортировки), Вы не управляете всем. Я предлагаю, чтобы Вы бросили хороший взгляд на него и решили, стоит ли это усилия по представлению чего-то вроде этого. Матрица могла бы быть альтернативой, так как можно выполнить команды на тонне хостов с записью единого пароля, поэтому введя Вас пароль только однажды и распределить ключ, затем выполнить матрицу даже без пароля при нахождении дальнейшего использования для него.
Один способ обратиться к этому путем хранения общественности ssh, включает ldap сервер. Я не уверен, встроили ли каким-либо ssh реализациям это, но можно использовать, исправляют OpenSSH с OpenSSH-LPK, чтобы заставить это работать. Я не попробовал его, и по-видимому который только работает, если Вы уже разбудили ldap набор инфраструктуры.
Два ответа:
Да, теоретически Вы могли сделать это с некоторыми действительно ужасными символьными ссылками и сервером NFS. Используйте/etc/skel каталог для копирования символьной ссылки на смонтированный каталог некоторого NFS для .ssh. Это может иметь все виды другого действительно, действительно противных последствий, и не является чем-то, что необходимо сделать.
Если то, что Вы надеетесь делать, должно смочь войти в какую-либо машину, у Вас есть полномочия для passwordlessly после входа в систему однажды, и у Вас уже есть установка сервера LDAP, Вы и Ваш администратор LDAP должны изучить объединение LDAP с Kerberos. После того как это - установка, Вы будете иметь то, что известно как решение для Единой точки входа (SSO) - после того как Вам предоставили "билет" для входа в систему в одну машину, тот билет может быть передан надежно любой другой машине, в которую Вы входите.