모든 호스트에서 kerberos를 통해 비밀번호 없는 로그인이 가능합니다.
우리는 사용자 계정과 공유 계정을 가지고 있습니다. 모든 계정(호스트 및 sudo 액세스)은 LDAP(RedHat의 FreeIPA)를 통해 관리됩니다.
이제 인간 사용자에게 하나의 특정 호스트에 있는 공유 소프트웨어 계정에 대한 셸 액세스 권한을 부여하면(이것은 IPA sudorule을 통해서만 수행됨)(때때로 이렇게 해야 함) 인간 사용자는 액세스 권한이 있는 해당 소프트웨어 계정에 SSH를 통해 연결할 수 있습니다. 소프트웨어 계정을 호스팅하지만 인간 사용자에게 액세스 권한을 부여하지 않습니다.
표시하려면:
- human_user는 다음 액세스 권한이 있으므로 Software_account로 sudo를 수행할 수 있습니다.
-> [email protected]: sudo -u software_account -i
-> [email protected]: ssh host2.com
-> [email protected]:
- human_user는host1의software_account에만 액세스할 수 있지만 이제는software_account가host2에 액세스할 수 있기 때문에host2에도 액세스할 수 있습니다.