すべてのホストでkerberosを介してパスワードのないログインが可能です。
私たちはユーザーアカウントと共有アカウントを持っています。すべてのアカウント(ホストとsudoアクセス)は、LDAP(RedHatのFreeIPA)を介して管理されます。
これで、人間のユーザーに1つの特定のホスト上の共有ソフトウェアアカウントへのシェルアクセスを許可すると(これはIPA sudoruleを介してのみ実行されます)(時々これを行う必要があります)、人間のユーザーはアクセス可能なソフトウェアアカウントにSSHを介して接続するできます。ソフトウェアアカウントをホストしますが、人間のユーザーにアクセスを許可しません。
表示するには:
- human_userには次のアクセス権があるため、Software_accountでsudoを実行できます。
-> [email protected]: sudo -u software_account -i
-> [email protected]: ssh host2.com
-> [email protected]:
- human_userはhost1のsoftware_accountにのみアクセスできますが、今はsoftware_accountがhost2にアクセスできるため、host2にもアクセスできます。