subnetzbasierte SSH-Konfiguration

[Yogi]

Hallo!

Hätte mal ne Frage bzgl. einer SSH Konfiguration. Der SSH Zugang soll prinzipiell per Zertifkat ermöglicht werden, aus einem fest definierten Subnetz soll jedoch auch eine passwort-basierte Authentifizierung möglich sein.

Es geht eigentlich um die Kombination von SSH mit CVS. Jeder Mitarbeiter innerhalb des Subnetzes (=Firma) soll Zugang zum dahinterliegenden CVS erhalten, aber nur bestimmte User dürfen sich auch von anderen Standorten aus zum CVS verbinden. Diese erhalten dann ein Zertifkat für ihren Zugang.

Sollte man dazu 2 SSH Daemons laufen lassen und den Zugang über die FW regeln, oder kann man das irgendwie in der sshd_config einstellen?

Danke schonmal für eure Meinungen und Hilfe.

 

[Huschi]

Eventuell solltest Du mal über SVN nachdenken.
(Nicht nur, weil es das besserer System ist...)
Als Apache-Modul kann man dies ggf. so konfigurieren wie Du es gerne hättest ohne einen nötigen SSH-Tunnel.

huschi.

 

[Yogi]

SVN haben wir auch im Einsatz, es gibt aber noch etliche ältere Projekte die aus unterschiedlichen Gründen in CVS gehalten werden müssen und nicht konvertiert werden können.

Unsere Lösung bei SVN: Apache mit mod_proxy, der die Zert-Auth übernimmt und dann and den eigentlichen SVN Host weiterleitet. Dort findet dann die Pwd-Auth statt. Interne User können direkt auf den SVN Host zugreifen.

Aber wie könnte man so etwas ähnliches mit CVS/SSH machen?

 

[elias5000]

Die aus administrativer Sicht sinnvollste Weise, das zu lösen dürfte sein, auch lokal die Benutzung von SSH-Keys zu enforcen.

Ich hab das auch gemacht und sehr gute Erfahrungen gesammelt. Ich hab User, die auf der Shell arbeiten und sich jetzt freuen, dass sie ihr Passwort (für den SSH-Key) nur einmal am Tag eingeben müssen.

 

[Huschi]

Ich kann mir momentan nur vorstellen es mit zwei sshd und iptables zu lösen.

huschi.

 

[Amathar]

Hmm,

jo, da kommste um zwei ssh instanzen nicht drumrum. Anders wäre es, wenn du die key-auth. nur von bestimmten hosts zulassen wolltest. Das geht in der Form
from="*.example.org" ssh-rsa AAAAB3NzaC im pub-key.
Damit wäre dann eine pw-auth von überall möglich und eine key-auth nur von den hosts.
Hilft dir aber leider wohl nicht.
==> zwei Instanzen oder gleich alles auf pubkey umstellen.

Peter