Ça ne répond pas à la question, mais je suis en train de tester https://www.boundaryproject.io/ (hashicorp) couplé à un keycloak et il doit y avoir tout ce qu'il faut pour faire du ssh sans ouvrir le port sur internet et avec une authentification utilisateur OIDC (donc keycloak !).
Je n'ai pas fait de ssh dans mon cas, mais il est pas mal documenté.
Pour résumer, c'est un service (plusieurs) accessible en https qui après une authentification (local ou OIDC) permet d'ouvrir un tunnel vers une cible. Cela peut être couplé à vault (hashicorp) pour la gestion des secrets pour les authentifications des cibles.
La solution est encore jeune (très) et n'est, je pense, pas encore utilisable pour une grosse production, mais c'est une solution à suivre !
Après ce n'est peut-etre pas possible à installer chez ton prestataire ni assez stable pour votre cible.
# boundary project
Posté par Mathieu CLAUDEL (site web personnel) . En réponse au message Keycloak + PAM + vsftpd. Évalué à 2.
Ça ne répond pas à la question, mais je suis en train de tester https://www.boundaryproject.io/ (hashicorp) couplé à un keycloak et il doit y avoir tout ce qu'il faut pour faire du ssh sans ouvrir le port sur internet et avec une authentification utilisateur OIDC (donc keycloak !).
Je n'ai pas fait de ssh dans mon cas, mais il est pas mal documenté.
Pour résumer, c'est un service (plusieurs) accessible en https qui après une authentification (local ou OIDC) permet d'ouvrir un tunnel vers une cible. Cela peut être couplé à vault (hashicorp) pour la gestion des secrets pour les authentifications des cibles.
La solution est encore jeune (très) et n'est, je pense, pas encore utilisable pour une grosse production, mais c'est une solution à suivre !
Après ce n'est peut-etre pas possible à installer chez ton prestataire ni assez stable pour votre cible.