opkssh (OpenPubkey SSH)通过将OpenID Connect(OIDC)协议与SSH协议无缝结合,使企业能够利用现有身份提供商(如Google、Azure AD)直接管理SSH访问权限,彻底告别手动配置SSH密钥的时代。
opkssh 三大核心优势
- 安全性跃升:临时密钥自动过期,消除长期密钥泄露风险。
- 运维简化:管理员通过邮件地址管理权限(如
authorized_emails文件),无需跟踪密钥指纹。用户可在任意设备通过opkssh login生成密钥,彻底解决密钥分发难题。 - 审计透明化:所有SSH登录事件均关联OIDC身份信息,天然支持SIEM系统集成。
opkssh基于OpenPubkey协议,该协议通过在OIDC的ID Token中嵌入用户公钥,生成名为“PK Token”的短期证书。当用户执行opkssh login时,流程如下:
- 生成临时SSH密钥对(默认有效期24小时);
- 通过浏览器跳转完成OIDC认证,获取包含公钥的PK Token;
- 将PK Token写入本地SSH公钥文件,私钥仅存于内存。
服务器端只需在SSH配置中添加两行验证逻辑(示例代码),即可将传统SSH公钥验证替换为PK Token验证。该方案兼容任何OIDC提供商,且无需修改SSH协议栈。
评论