SSH da Windows a Linux con certificati AD

Ho una macchina client di Windows collegata a Active Directory e un server Linux collegato anche ad Active Directory (tramite PAM w / LDAP) e voglio essere in grado di eseguire SSH senza password da Windows a Linux. SSH funziona bene finché fornisco la password per l'account AD.

Ho trovato il seguente articolo che mi ha dato un'idea di come può essere fatto, ma non posso farlo funzionare: http://www.moelinux.net/wordpress/?p=95

  • Individuare e aggiornareb non funziona. Cosa dovrei fare?
  • Risorse di amministrazione del server Windows per gli amministratori Linux?
  • Connetti al command RDP & execute da CLI
  • Il modo migliore per disabilitare lo scambio in Linux
  • SSH riavviare e uccidere istanze?
  • Come faccio a sudo over sshfs?
  • Quello che ho provato è il seguente (basato sull'articolo di cui sopra):

    1. (sul client) Esport il mio certificato AD in un file .PFX
    2. Convertire il file .PFX in un file id_rsa utilizzando il seguente command: openssl pkcs12 -in somefile.pfx -out id_rsa
    3. Strip id_rsa della password usando il seguente command: openssl rsa -in id_rsa -out id_rsa
    4. Generare la chiave pubblica usando il seguente command: ssh-keygen -y -f id_rsa> id_rsa.pub
    5. (sul server) La stessa routine di cui sopra, quindi ho identico ~ / .ssh / id_rsa e ~ / .ssh / id_rsa.pub sul client e sul server.

    Come potreste immaginare, questo non funziona. Devo ancora inserire la mia password. Dove potrei andare male?

    (Quello che sto realmente cercando di realizzare è impostare un modo di connettersi da Windows a Linux con un account AD, il più ansible senza problemi. Questo sembra il modo migliore per farlo, ma se ci sono altri modi, sono aperto alle idee :-))

  • Qualsiasi pericolo di copiare i più recenti ADMX (& file lang) in AD Central Store?
  • Come posso progettare una nuova struttura Active Directory?
  • Active Directory: Server 2008 e RHEL 5.10
  • Gestione di un ambiente di Active Directory con migliaia di sottoreti
  • Aggiungere l'ultimo utente registrato nel field Descrizione utenti e computer AD
  • Come trovare il time server in un dominio?
  • One Solution collect form web for “SSH da Windows a Linux con certificati AD”

    Confondi i certificati X.509 con i tasti RSA. Sono implementazioni totalmente differenti di PKI. Poiché entrambi i client e il server SSH sono membri di dominio, però, direi dimenticare le chiavi e utilizzare Kerberos / GSSAPI. In /etc/ssh/sshd_config sul server, si dovrebbe trovare una direttiva, GSSAPIAuthentication , GSSAPIAuthentication e modificare il valore su yes . Riavviare il demone SSH dopo aver salvato la modifica.

    Per il client, è necessario l'ultimo PuTTY (0.61) o OpenSSH. PuTTY ha GSSAPI abilitato per impostazione predefinita, quindi basta inserire il nome host del server SSH (indirizzo IP non funziona) e il collegamento colpire.

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.