키 페어는 사용자가 생성해야합니다.
사용자는 개인 절반을 유지하므로 절대 보지 마십시오. 읽고 / 사용할 수있는 양식의 누군가의 개인 키가있는 경우 보안이 잘못되었습니다.
공개 절반은 원하는 방식으로 웹 양식, 전자 메일, CD를 제공하여 원하는 방식으로 중앙 집중식으로 제공됩니다. 일부 장소는 공개 키를 LDAP에 저장합니다. 다른 사람들 authorized_keys
은 배포 시스템을 사용하여 파일을 밀어냅니다 .
내 환경에서 셸 액세스가 필요한 사용자는 공개 키를 제공합니다. 이러한 키는 LDAP 시스템에 추가되며 LDAP 공개 키 패치sshd
를 통해 각 사용자에 대해 나열된 공개 키를 참조하여 인증합니다 .
누군가 추가 키를 추가하거나 기존 키를 해지해야하는 경우 관리자에게 알리면 처리합니다. 결국 우리가 확장함에 따라 사람들이 자신의 공개 키를 회전시킬 수있는 시스템을 구현할 것입니다.
각 사이트에는 한 쌍의 LDAP 서버가 있으며 LDAP 복제를 통해 마스터와 동기화되어 각 위치에서 데이터의 일관성을 유지하고 액세스 할 수 있습니다.
내가 설명한 모든 것은 오픈 소스 소프트웨어로 수행 할 수 있습니다. 같은 일을하는 상용 제품도 있습니다.
사용 가능한 옵션을보다 철저히 조사하고 환경에 가장 적합한 옵션을 결정해야합니다. 더 구체적인 질문이 있으면 더 도움이 될 것입니다.