[hpc-devel] Q: пользователи - доступ на главный узел

[Stanislav Ievlev]

Александры, Андрей - это снова к вам ;)
Как ваши пользователи предпочитают заходить на главный узел?

--

Уж коли мы используем ssh, то почему бы его не использовать в качестве
средства аутентификации и при входе на раздаточный узел?
Для этого надо будет только и всего, что передать пользователю приватную
часть его ключа, для установки на рабочую станцию.

Плюсы:
Не надо дополнительно в ldap забивать пароли, есть один
ключик - и его достаточно для всех нужд. Это с точки зрения безопасности
наверное даже лучше будет.
Кроме того вроде как есть даже клиенты ssh под Windows - так что и тут при приложении 
определённых усилий можно будет вполне себе комфортно существовать.

А если запускать ssh-agent сразу на рабочей станции, то появляется шанс
(Дима поправь меня если не прав), после беспарольного входа на кластер также
беспарольно работать и дальше.

Есть и потенциальные минусы:
2ldv: Дима, напомни пожайлуста. Есть ведь и какие-то особенности при
использовании ssh-agent'a ... не знаю как в случае кластера, но скажем
если вот идёт по циклу запуск программы где требуется доступ к ключу
(rsync over ssh в цикле). В этом случае agent должен быть всегда под рукой,
даже если пользователь уже ушёл и выключил свою рабочую станцию? 

Может ли agent с рабочей станции при
входе автоматом передать все необходимые сведения agent-у на главном узле,
чтобы потом при разлогинивании оставшиеся процессы пользователя всё ещё
могли пользоваться беспарольным доступом?

Но ... я не знаю насколько это удобно в вашем конкретном случае в
организационном плане.

--

Второй вариант традицинный: забиваем в ldap пароли пользователей +
дополнительно раскладываем ssh-ключики.

Плюсы:
Простая схема без магии agent'ов.

Минусы: 
Пароль придётся вводить дважды.
Сначала для логина, потом для ssh-agent'a.
 
--
Станислав Иевлев.