SSH da Windows a Linux con certificati AD

Ho una macchina client di Windows collegata a Active Directory e un server Linux collegato anche ad Active Directory (tramite PAM w / LDAP) e voglio essere in grado di eseguire SSH senza password da Windows a Linux. SSH funziona bene finché fornisco la password per l'account AD.

Ho trovato il seguente articolo che mi ha dato un'idea di come può essere fatto, ma non posso farlo funzionare: http://www.moelinux.net/wordpress/?p=95

Quello che ho provato è il seguente (basato sull'articolo di cui sopra):

  1. (sul client) Esport il mio certificato AD in un file .PFX
  2. Convertire il file .PFX in un file id_rsa utilizzando il seguente command: openssl pkcs12 -in somefile.pfx -out id_rsa
  3. Strip id_rsa della password usando il seguente command: openssl rsa -in id_rsa -out id_rsa
  4. Generare la chiave pubblica usando il seguente command: ssh-keygen -y -f id_rsa> id_rsa.pub
  5. (sul server) La stessa routine di cui sopra, quindi ho identico ~ / .ssh / id_rsa e ~ / .ssh / id_rsa.pub sul client e sul server.

Come potreste immaginare, questo non funziona. Devo ancora inserire la mia password. Dove potrei andare male?

(Quello che sto realmente cercando di realizzare è impostare un modo di connettersi da Windows a Linux con un account AD, il più ansible senza problemi. Questo sembra il modo migliore per farlo, ma se ci sono altri modi, sono aperto alle idee :-))

  • Accesso alle sottocartelle di una condivisione di Windows da linux
  • Perché chiunque acquista Windows Server direttamente da Microsoft?
  • Imansible ripristinare un object Criteri di gruppo in Active Directory
  • cwrsync su Server 2008 R2 come un task pianificato
  • Porte TCP / IP necessarie per l'operazione CIFS / SMB
  • Monitoraggio dei singoli processi in Windows Server 2008, è ansible?
  • Cluster di failover a due nodes con archiviazione interna
  • Per il count di Loop da 1 a n in uno script per Windows
  • One Solution collect form web for “SSH da Windows a Linux con certificati AD”

    Confondi i certificati X.509 con i tasti RSA. Sono implementazioni totalmente differenti di PKI. Poiché entrambi i client e il server SSH sono membri di dominio, però, direi dimenticare le chiavi e utilizzare Kerberos / GSSAPI. In /etc/ssh/sshd_config sul server, si dovrebbe trovare una direttiva, GSSAPIAuthentication , GSSAPIAuthentication e modificare il valore su yes . Riavviare il demone SSH dopo aver salvato la modifica.

    Per il client, è necessario l'ultimo PuTTY (0.61) o OpenSSH. PuTTY ha GSSAPI abilitato per impostazione predefinita, quindi basta inserire il nome host del server SSH (indirizzo IP non funziona) e il collegamento colpire.

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.