54、SSH 认证与 Tectia 配置详解

SSH 认证与 Tectia 配置详解

1. SSH 与 GSS 安全机制

SSH 能够自动采用新的 GSS 安全机制，无需进一步的标准工作。例如，Tectia Windows Server 通过 GSSAPI 提供 Kerberos 和 NTLM 用户认证。相关的 SSH 协议草案是 “GSSAPI Authentication and Key Exchange for the Secure Shell Protocol”（draft - ietf - secsh - gsskeyex）。

几年前，这个领域还处于发展阶段，只有一些补丁和实验性的实现。如今，它已经成熟，并存在于多个主流 SSH 产品和平台中，包括 OpenSSH、OS X 以及 Windows 和 Unix 上的 Tectia。这与 Kerberos 的广泛应用相契合。令人惊讶的是，它们大多可以互操作，现在可以使用 Kerberos 在各种 OS/SSH 组合中实现强认证和单点登录。

与使用 ssh - agent 的 SSH 公钥认证相比，Kerberos 有两个优势。一是对于大型组织的集中管理和可扩展性问题，我们之前已经讨论过。另一个重要的点是，公钥认证是 SSH 特定的。你需要费力地教导人们如何生成密钥、使用代理、启用代理转发等，但最终得到的解决方案仅适用于 SSH。例如，你登录到 Windows 机器的域账户，然后通过 SSH 连接到另一台机器。公钥认证可能会让你登录，但在访问网络共享等资源时，你可能需要再次输入密码，因为你的 Windows 域凭证不会通过 SSH 跟随你。而使用 Kerberos，允许登录的相同凭证可以转发到远程主机并用于其他目的。由于 Kerberos 是标准协议，从 Windows