我在查看连接到SSH守护程序的用户身份验证方法。在我所问的内容中可能存在一些重大的误解,但从我所知道的GSSAPI可以用作SSH守护程序的身份验证提供程序后端。GSSAPI的服务器端用于sshd和私钥身份验证
有没有提供用户公钥的方法?我想保留私钥/公钥认证方案,但是以特定方式从外部流程提供用户详细信息和密钥。
另外,有没有提供编程信息的GSSAPI指南?我目前发现的唯一指南是非常低级别的协议描述或管理员的服务器配置指南......虽然我仍然缺少一些关于如何使用GSSAPI以及如何使用它编写内容的实用信息(或者是否是可能的)。
可能你正在寻找与pkinit支持kerberos。
这很酷。你知道这是一个krb库特定的东西吗,或者腻子可以以某种方式使用它? – viraptor 2011-03-30 18:39:51
putty与pkinit没有任何关系,只有在与kerberos服务器进行初始对话期间,即AS-REQ和AS-REP才能起作用。在此之后,您的机器将收到TGT,并且此事务发生在域登录期间或执行kinit时。腻子使用这个TGT并获得服务票据并继续,因此一个简单的kerberos启用腻子就足够了。我不知道是否为pkinit启用了Windows域登录。但是有一些kinit版本支持pkinit。 http://metavo.metacentrum.cz/en/docs/tokens/windows.html – kalyan 2011-03-31 06:45:49
你打算进行编程吗?(这不清楚你的问题)?如果没有,http://serverfault.com/可能是一个更好的地方来问这个问题。如果您有兴趣,我们在用于SSH/SFTP(http://www.eldos.com/SecureBlackbox/)的SecureBlackbox组件的代码中实现了GSS-API的客户端。 – 2011-03-25 12:30:42
是的,我相信我需要实现自己的服务器端组件来执行身份验证,所以这是一个编程问题。 – viraptor 2011-03-25 13:25:52