<div dir="ltr">I meant the path to the file, not a list. You answered my question about storing the keys in AD. But by virtue of users being able to remove passwords from their private key this won&#39;t help me.<br><br><div class="gmail_quote">
2008/9/17 Neel Upadhyaya <span dir="ltr">&lt;<a href="mailto:bahulneel@gmail.com">bahulneel@gmail.com</a>&gt;</span><br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
<div dir="ltr">[mark] do you mean you store the path to the authorized_keys file in ldap? Or the actual list of public keys?<br><br>Yes the keys are all stored in ldap against the user accounts allowing central key management,<div>
<div class="Wj3C7c"><br>
<br><div class="gmail_quote">2008/9/16 Mark Stewart <span dir="ltr">&lt;<a href="mailto:markwstewart@gmail.com" target="_blank">markwstewart@gmail.com</a>&gt;</span><br><blockquote class="gmail_quote" style="border-left:1px solid rgb(204, 204, 204);margin:0pt 0pt 0pt 0.8ex;padding-left:1ex">

<div>do you mean you store the path to the authorized_keys file in ldap? Or the actual list of public keys?</div><div><div>
<div><br>&nbsp;</div>
<div><span class="gmail_quote">On 16/09/2008, <b class="gmail_sendername">Neel Upadhyaya</b> &lt;<a href="mailto:bahulneel@gmail.com" target="_blank">bahulneel@gmail.com</a>&gt; wrote:</span>
<blockquote class="gmail_quote" style="border-left:1px solid rgb(204, 204, 204);margin:0px 0px 0px 0.8ex;padding-left:1ex">
<div dir="ltr">You can offload this to ldap.&nbsp; We do that here.<br><br>
<div class="gmail_quote"><span>2008/9/16 Mark Stewart <span dir="ltr">&lt;<a href="mailto:markwstewart@gmail.com" target="_blank">markwstewart@gmail.com</a>&gt;</span><br>
</span>
<blockquote class="gmail_quote" style="border-left:1px solid rgb(204, 204, 204);margin:0pt 0pt 0pt 0.8ex;padding-left:1ex">good - point. I want to avoid a PKI style role out - I&#39;m looking at 
<div><span><br>ways of locking/changing location of the authorized_key file.<br>
<div>

<div><br>On 16/09/2008, Yvan Seth &lt;<a href="http://watford.lug.org.uk/" target="_blank">watford.lug.org.uk</a>@<a href="http://malignity.net/" target="_blank">malignity.net</a>&gt; wrote:<br>
&gt; On Tue, Sep 16, 2008 at 03:29:54PM +0100, Mark Stewart wrote:<br>&gt;&gt; Hi Magnus, thanks for your input. I think that what Yvan said is true<br>&gt;&gt; and that it will come down to policy even if I distributed the keys<br>


&gt;&gt; myself as users can update their own authorized_keys file in their<br>&gt;&gt; .ssh folder. I guess if I get time I could police by locking down the<br>&gt;&gt; authorized_keys file so users can&#39;t update it but will involve some<br>


&gt;&gt; testing.<br>&gt;&gt;<br>&gt;&gt; I could also check the authorized key file to ensure it only has keys<br>&gt;&gt; generated by me inside it. mmmm, I need to go and do some testing.<br>&gt;<br>&gt; Alas, Magnus&#39;s suggestion doesn&#39;t quite work. &nbsp;You can distribute<br>


&gt; pre-passphrased keys but then your users (who obviously must know the<br>&gt; passphrase) can &quot;unwwap&quot; the key to an unprotected version (see the<br>&gt; ssh-keygen manpage.) &nbsp;Assuming you have mischievous users.<br>


&gt;<br>&gt; There is another completely different option... use an external key<br>&gt; dongle of some kind. &nbsp;See the -I option for the command-line SSH client.<br>&gt; I&#39;ve never seen this in action and have no idea what the caveats are.<br>


&gt; Top Google links for &quot;ssh smartcard&quot;:<br>&gt; &nbsp; &nbsp; <a href="http://smartcard-auth.de/ssh-en.html" target="_blank">http://smartcard-auth.de/ssh-en.html</a><br>
&gt; &nbsp; &nbsp; <a href="http://www.faqs.org/docs/Linux-HOWTO/Smart-Card-HOWTO.html" target="_blank">http://www.faqs.org/docs/Linux-HOWTO/Smart-Card-HOWTO.html</a><br>&gt; (Question for further research: what&#39;s to stop someone from simply<br>


&gt; dumping the key data from the &quot;smart&quot; card?)<br>&gt;<br>&gt; -Yvan<br>&gt;<br>&gt; _______________________________________________<br>&gt; Watford mailing list<br>&gt; <a href="mailto:Watford@mailman.lug.org.uk" target="_blank">Watford@mailman.lug.org.uk</a><br>


&gt; <a href="https://mailman.lug.org.uk/mailman/listinfo/watford" target="_blank">https://mailman.lug.org.uk/mailman/listinfo/watford</a><br>&gt;<br><br>_______________________________________________<br>
Watford mailing list<br><a href="mailto:Watford@mailman.lug.org.uk" target="_blank">Watford@mailman.lug.org.uk</a><br><a href="https://mailman.lug.org.uk/mailman/listinfo/watford" target="_blank">https://mailman.lug.org.uk/mailman/listinfo/watford</a><br>


&nbsp;</div></div></span></div></blockquote></div><br><br clear="all"><span><br>-- <br>MCSE is to computers as McDonalds Certified Chef is to fine cuisine.<br></span></div><br>_______________________________________________<br>


Watford mailing list<br><a href="mailto:Watford@mailman.lug.org.uk" target="_blank">Watford@mailman.lug.org.uk</a><br><a href="https://mailman.lug.org.uk/mailman/listinfo/watford" target="_blank">https://mailman.lug.org.uk/mailman/listinfo/watford</a><br>


<br></blockquote></div><br>
</div></div><br>_______________________________________________<br>
Watford mailing list<br>
<a href="mailto:Watford@mailman.lug.org.uk" target="_blank">Watford@mailman.lug.org.uk</a><br>
<a href="https://mailman.lug.org.uk/mailman/listinfo/watford" target="_blank">https://mailman.lug.org.uk/mailman/listinfo/watford</a><br>
<br></blockquote></div><br><br clear="all"><br>-- <br>MCSE is to computers as McDonalds Certified Chef is to fine cuisine.<br>
</div></div></div>
<br>_______________________________________________<br>
Watford mailing list<br>
<a href="mailto:Watford@mailman.lug.org.uk">Watford@mailman.lug.org.uk</a><br>
<a href="https://mailman.lug.org.uk/mailman/listinfo/watford" target="_blank">https://mailman.lug.org.uk/mailman/listinfo/watford</a><br>
<br></blockquote></div><br></div>