CA 인증서 사용을 특정 사용자/주체/그룹으로 제한할 수 있습니까?
사용 사례는 2개의 CA 인증서를 원한다는 것입니다. 그 중 하나는 사용자 키에 서명하는 자동화된 시스템의 일부로 사용됩니다. 이 인증서가 손상되면 누군가가 관리자 계정에 로그인하는 데 사용할 수 없는지 확인하고 싶습니다.
다른 CA 인증서는 확실히 더 안전하게 저장되고(공백 등) 관리자 계정에 사용됩니다.
답변1
Ulrich Schwarz의 의견에 따르면:
endusers그룹 에 일반 사용자를 추가하면 다음과 같이 sshd_config를 설정할 수 있습니다.
TrustedUserCAKeys /etc/ssh/admin_ca.pub
Match Group endusers
TrustedUserCAKeys /etc/ssh/user_ca.pub
이로 인해 user_ca는 endusers그룹의 사용자만 허용되는 반면 admin_ca는 모든 사용자가 사용할 수 있습니다.