[hpc-devel] Q: пользователи - доступ на главный узел

Alexander A. Naumov =?iso-8859-1?q?alexander=2Enaumov_=CE=C1_t-platforms=2Eru?=
Пн Сен 3 09:13:00 MSD 2007 

Мои 5 евроцентов :))

Как мне кажется, лучше остановиться на стандартном способе доступа:
то есть использование паролей и опционально возможность доступа 
на ключу. При этом, лучше оставить пользователю возможность самому
устанавливать свой ключ, по крайней мере части пользователей.
   Это вызвано тем, что многие на рабочей станции имеют один ssh-ключ
для доступа не несколько серверов. 

Обязательное же использование ключа для доступа - это лишняя головная
боль для администратора, которому придется еще и следить за правильной
конфигурацией рабочих станций пользователей. Плюс к тому, хранение ключа
где-то не всегда безопасно. 

-- 
С уважением,
Александр Наумов
ООО "Т-Платформы"
Тел.: (495)744-0995
http://www.t-platforms.ru
On Mon, Sep 03, 2007 at 09:06:06AM +0400, Stanislav Ievlev wrote:
> Александры, Андрей - это снова к вам ;)
> Как ваши пользователи предпочитают заходить на главный узел?
> 
> --
> 
> Уж коли мы используем ssh, то почему бы его не использовать в качестве
> средства аутентификации и при входе на раздаточный узел?
> Для этого надо будет только и всего, что передать пользователю приватную
> часть его ключа, для установки на рабочую станцию.
> 
> Плюсы:
> Не надо дополнительно в ldap забивать пароли, есть один
> ключик - и его достаточно для всех нужд. Это с точки зрения безопасности
> наверное даже лучше будет.
> Кроме того вроде как есть даже клиенты ssh под Windows - так что и тут при приложении 
> определённых усилий можно будет вполне себе комфортно существовать.
> 
> А если запускать ssh-agent сразу на рабочей станции, то появляется шанс
> (Дима поправь меня если не прав), после беспарольного входа на кластер также
> беспарольно работать и дальше.
> 
> Есть и потенциальные минусы:
> 2ldv: Дима, напомни пожайлуста. Есть ведь и какие-то особенности при
> использовании ssh-agent'a ... не знаю как в случае кластера, но скажем
> если вот идёт по циклу запуск программы где требуется доступ к ключу
> (rsync over ssh в цикле). В этом случае agent должен быть всегда под рукой,
> даже если пользователь уже ушёл и выключил свою рабочую станцию? 
> 
> Может ли agent с рабочей станции при
> входе автоматом передать все необходимые сведения agent-у на главном узле,
> чтобы потом при разлогинивании оставшиеся процессы пользователя всё ещё
> могли пользоваться беспарольным доступом?
> 
> Но ... я не знаю насколько это удобно в вашем конкретном случае в
> организационном плане.
> 
> --
> 
> Второй вариант традицинный: забиваем в ldap пароли пользователей +
> дополнительно раскладываем ssh-ключики.
> 
> Плюсы:
> Простая схема без магии agent'ов.
> 
> Минусы: 
> Пароль придётся вводить дважды.
> Сначала для логина, потом для ssh-agent'a.
>  
> --
> Станислав Иевлев.
> 
> _______________________________________________
> Hpc-devel mailing list
> Hpc-devel на lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/hpc-devel

Подробная информация о списке рассылки HPC-devel