我正在尝试为一个小型团队安装开发工具,但我无法获得正确的身份验证。
由于我们是分布式团队,因此服务器位于Internet上。我想拥有SSO +零客户端配置。
因此,基本上,通过https + webdav进行git操作是不切实际的,因为git客户端只能使用基本身份验证,而不能保存密码,并且某些IDE插件甚至无法在其UI中转发密码问题。
然后,我必须在ssh上使用git。我安装了gitosis,它基本上可以与非对称密钥一起使用,好的。我将不得不要求每个开发人员安装他们的密钥,我可以这样做,而无需进行零配置。
然后,我希望开发人员访问https上的Web工具(Wiki,票证等),但是这一次,我不得不给他们一个登录名/密码或另一个私钥,只是因为SSH之间的格式不兼容SSL与OS上存储的位置不同。现在,我必须忘记SSO吗?
我错了吗?
Answers:
TL; DR摘要:如果您具有SSL / X.509证书+密钥,只需将私钥文件提供给ssh。或者,如果您已经有SSH密钥id_rsa,则在签署CSR时将其与OpenSSL一起使用。就这样。
假设您有一个用户的SSL证书,其中有一个joeuser.pem私钥joeuser.key。
由于X.509使用标准RSA密钥,而SSH也使用标准密钥,因此您应该能够告诉您的SSH客户端使用joeuser.key-唯一的要求是格式必须易于理解。
查看其内部joeuser.key并检查它是否像这样:
----- BEGIN RSA私钥----- MGECAQACEQCxQaFwijLYlXTOlwqnSW9PAgMBAAECEETwgqpzhX0IVhUa0OK0tgkC CQDXPo7HDY3axQIJANLRsrFxClMDAghaZp7GwU2T1QIIMlVMo57Ihz8CCFSoKo3F 2升/ 2 -----结束RSA私钥-----
在Open SSL中,此格式称为“ PEM”(如所示-outform pem),默认使用。Open SSH使用相同的格式,您可以使用它ssh -i joeuser.key进行连接。
您可以使用以下格式提取OpenSSH 格式的公共密钥id_rsa.pub(用于放入authorized_keys):
ssh-keygen -y -f joeuser.key> joeuser-ssh.pub
(可以使用来提取PEM格式的同一公钥openssl rsa -pubout,但用处不大。)
如果您有DSA密钥,则它应该与RSA完全相同。
cert.db。对于Windows,可以使用certutil或(我认为)通过AD组策略来安装证书。SSH完全不需要任何配置,只需ssh-keygen -y -f要将两个文件都转储到用户的homedir中即可。
OpenSSH在此处具有对x509证书的实验性支持:
http://roumenpetrov.info/openssh
您可以为每个用户颁发一个x509证书,并同时使用它们。
您可以指定用户证书的允许DN,而不是将用户pubkey放入其authorized_keys中。并且您必须配置Web服务器/ Web应用程序,以便将DN转换为用户名。