Управление authorized_keys на большом количестве хостов

Question

Какой самый простой способ управлять файлом author_keys для openssh на большом количестве хостов? Скажем, если мне нужно добавить или отозвать новый ключ к учетной записи на 10 хостах, я должен войти в систему и добавить открытый ключ вручную или с помощью неуклюжего сценария оболочки, что отнимает много времени.

В идеале должна быть центральная база данных, связывающая ключи с учетными записями @ машинами с некоторой поддержкой группирования (IE, добавьте этот ключ к имени пользователя X на всех серверах в веб-категории). Есть ветвь SSH с поддержкой ldap, но я бы лучше использовал основные SSH-пакеты.

Answer 1

Я бы посмотрел проект Monkeysphere . Он использует концепцию сети доверия OpenPGP для управления ssh-авторизованными файлами sys и known_hosts без необходимости изменения клиента или сервера ssh.

Answer 2

Я использую Puppet для многих вещей, включая это. (используя тип ресурса ssh_authorized_key)

Answer 3

Рассматривали ли вы использование clusterssh (или аналогичного) для автоматизации передачи файлов? Другой вариант - одна из централизованных систем конфигурации .

/ Allan

Answer 4

Я всегда делал это, поддерживая «главное» дерево ключей разных серверов и используя rsync для обновления удаленных машин. Это позволяет вам редактировать вещи в одном месте, эффективно вносить изменения и поддерживать их в актуальном состоянии - все редактируют мастер-файлы, никто не редактирует файлы на случайных хостах.

Возможно, вы захотите взглянуть на проекты, которые созданы для запуска команд между группами компьютеров, например Func at https://fedorahosted.org/func или другие пакеты управления конфигурацией сервера.