Pasangan kunci harus dibuat oleh pengguna.
Pengguna mempertahankan setengah privat - Anda seharusnya tidak pernah melihatnya. Jika Anda memiliki kunci pribadi seseorang dalam bentuk di mana Anda dapat membaca / menggunakannya Anda melakukan kesalahan keamanan.
Setengah publik diberikan kepada Anda (dengan mekanisme apa pun yang Anda inginkan: Formulir web, email, berikan-untuk-saya-di-CD), untuk dipusatkan sesuai keinginan Anda. Beberapa tempat menyimpan kunci publik di LDAP. Lainnya mendorong authorized_keys
file menggunakan sistem penyebaran mereka.
Di lingkungan saya, pengguna yang membutuhkan akses shell memberi saya kunci publik mereka. Kunci-kunci ini ditambahkan ke sistem LDAP kami, dan sshd
berkonsultasi dengan kunci publik yang tercantum untuk setiap pengguna untuk mengotentikasi mereka, melalui patch Kunci Publik LDAP .
Ketika seseorang perlu menambahkan kunci tambahan atau mencabut kunci yang sudah ada, mereka memberi tahu admin, dan kami menanganinya. Akhirnya saat kita skala saya akan menerapkan sistem yang memungkinkan orang memutar kunci publik mereka sendiri.
Setiap situs kami memiliki sepasang server LDAP, disinkronkan ke master kami dengan replikasi LDAP, yang menjaga data konsisten (dan dapat diakses) di setiap lokasi.
Semua yang saya jelaskan dapat dilakukan dengan perangkat lunak sumber terbuka. Ada juga produk komersial yang melakukan hal yang sama.
Anda perlu meneliti opsi yang tersedia dengan lebih teliti dan memutuskan mana yang paling sesuai dengan lingkungan Anda. Jika Anda memiliki pertanyaan lebih lanjut (lebih spesifik) kami mungkin bisa lebih membantu.