私は小さなチーム用の開発ツールをインストールしようとしていますが、認証を正しく取得できません。
私たちは分散チームであるため、サーバーはインターネット上にあります。そして、SSO +ゼロクライアント構成が必要です。
gitクライアントは基本認証のみを使用できますが、パスワードを保存せず、一部のIDEプラグインはUIでパスワードの質問を転送しないため、基本的にhttps + webdav上のgitは実用的ではありません。
sshでgitを使用する必要があります。gitosisをインストールしましたが、基本的に非対称キーで動作します。各開発者にキーをインストールするように依頼する必要があります。これを行うことができますが、ゼロ設定は忘れてください。
次に、httpsにあるWebツール(wiki、チケットなど)に開発者がアクセスできるようにしますが、今回は、SSH間で形式に互換性がないため、ログイン/パスワードまたは別の秘密キーを提供する必要がありますSSLとOSでのSSLの保存場所は同じではありません。今、私はSSOを忘れなければなりませんか?
私は間違っていますか?
回答:
TL; DRの概要: SSL / X.509証明書+キーがある場合は、秘密キーファイルをに渡しますssh。または、既にSSHキーを持っている場合はid_rsa、CSRに署名するときにOpenSSLで使用します。それで全部です。
にユーザーのSSL証明書がjoeuser.pemあり、その秘密鍵がにあるとしjoeuser.keyます。
X.509は標準のRSAキーを使用し、SSHも使用するため、SSHクライアントに使用するように指示することができるはずjoeuser.keyです。唯一の要件は、理解可能な形式であることです。
の内部を見て、joeuser.key次のように見えるかどうかを確認します。
----- RSAプライベートキーの開始----- MGECAQACEQCxQaFwijLYlXTOlwqnSW9PAgMBAAECEETwgqpzhX0IVhUa0OK0tgkC CQDXPo7HDY3axQIJANLRsrFxClMDAghaZp7GwU2T1QIIMlVMo57Ihz8CCFSoKo3F 2L / 2 ----- RSAプライベートキーの終了-----
Open SSLでは、この形式は「PEM」(と同様-outform pem)と呼ばれ、デフォルトで使用されます。同じ形式がOpen SSHで使用されておりssh -i joeuser.key、接続に使用できます。
OpenSSH 形式で公開キーを抽出することができid_rsa.pubます(入力用authorized_keys):
ssh-keygen -y -f joeuser.key> joeuser-ssh.pub
(PEM形式の同じ公開キーはで抽出できますopenssl rsa -puboutが、ほとんど役に立ちません。)
あなたはDSA鍵を持っている場合、それはすべきである RSAのように正確に同じように機能します。
cert.dbます。Windowsの場合、certutilを使用して、またはADグループポリシーを通じて(と思う)証明書をインストールできます。SSHは設定を一切必要とせず、ssh-keygen -y -f両方のファイルをユーザーのhomedirにダンプするだけです。
OpenSSHは、ここでx509証明書の実験的なサポートを提供しています。
http://roumenpetrov.info/openssh
ユーザーごとに1つのx509証明書を発行し、両方に使用できます。
ユーザーpubkeyをauthorized_keysに入れる代わりに、ユーザー証明書の許可されたDNを指定できます。DNがユーザー名に変換されるようにwebserver / webアプリケーションを設定する必要があります。