CA証明書の使用を特定のユーザー/サブジェクト/グループに制限できますか?
ユースケースは、2つのCA証明書が必要なことです。そのうちの1つは、ユーザーキーに署名する自動化システムの一部として使用されます。この証明書が破損した場合は、誰かが管理者アカウントにログインするために使用できないことを確認したいと思います。
他のCA証明書は確実に安全に保存され(スペースなど)、管理者アカウントに使用されます。
答え1
Ulrich Schwarzによるコメントによると:
endusersグループに一般ユーザーを追加すると、次のようにsshd_configを設定できます。
TrustedUserCAKeys /etc/ssh/admin_ca.pub
Match Group endusers
TrustedUserCAKeys /etc/ssh/user_ca.pub
これにより、user_caはendusersグループ内のユーザーのみが許可され、admin_caはすべてのユーザーが使用できます。