OpenSSH auf Server, Zugriff über PSFTP / SCP mit Public / Private Key und GMSA

[Dutch_OnE 40]

Moin,

 

ist es möglich die Verbindung zum SSH nur über einen GMSA aufzubauen? 

Bei Co-Pilot gibt es immer nur eine Hybrid Lösung, die das SSH über einen Benutzer macht und dann einen Task über einen GMSA ausführt.

 

Gruß GO

[cj_berlin 1.508]

Kannst Du mal das Szenario beschreiben? Ich kann mir so gar nicht vorstellen, wann das nötig wäre...

Aber grundsätzlich, wenn Du es schaffst, dem gMSA den Private Key unterzujubeln (vermutlich am Einfachsten per Scheduled Task, der als gMSA läuft), sollte der Public Key davon für Authentifizierung verwendet werden können...

 

Aber denke daran: SSH mit Keys ist Type 3, wird also nicht für Second Hop funktionieren.

[Dutch_OnE 40]

Wir haben einen OpenSSH Server. Ein zweiter Server soll regelmäßig Daten über SCP oder PSFTP zu diesem übertragen. 

Nach Möglichkeit soll kein Domänen Account sondern ein gMSA verwendet werden. Lokale Accounts sind bei uns verboten.

 

Laut Co-Pilot benötige ich einen Benutzeraccount zur Ablage des Private Keys, den der gMSA ja nicht hat.

CP will daher für SSH einen User Account (mit Profil und Ablage für den Key) und für den Task zum Starten der Übertragung ein gMSA Konto verwenden.

 

 

 

[cj_berlin 1.508]

gMSA haben ein Benutzerprofil, wie ich bereits schrub, und Du kannst mit einem SchTask dort einen Key Pair erzeugen. Ob das für SSH reicht, muss man verifizieren.

[Dukel 468]

Manchmal, wenn man z.B. die Credentials benötigt, gehen keine gMSA Accounts und man muss klassische Service Accounts nutzen.

[Dutch_OnE 40]

Folgendes haut Co-Pilot raus:

 

 Fazit

• SSH Public/Private Key Auth funktioniert gut mit normalen Benutzern auf Windows Server.
• gMSAs sind ideal für nicht-interaktive Dienste, aber nicht für direkte SSH-Logins.
• Du kannst beide kombinieren: gMSA für Dienste, SSH-Schlüssel für sichere Kommunikation.

[cj_berlin 1.508]

vor 50 Minuten schrieb Dutch_OnE:

Folgendes haut Co-Pilot raus:

Na wenn das sooo ist...