Как работают MFA-подключения по персональным сертификатам?

Подключения с помощью MFA удобно использовать, если пользователям требуется быстро переключаться между множеством серверов Linux/Unix. Например, при устранении инцидентов или массовых работах.

Использование паролей или OTP (раз в 30 секунд) замедляет процесс, так как аутентификацию приходится повторять для каждого сервера.

Плюсы использования MFA:

Нет задержек из-за OTP.
Подключение к десяткам серверов за секунды.
Полный контроль через ролевые модели и журналы доступа.

Как это работает

Механизм кэширования MFA позволяет использовать одноразовую аутентификацию для серии подключений через worker-ssh.

Пользователь проходит многофакторную аутентификацию на веб-портале.
Пользователь скачивает архив с артефактом подключения.
Артефакт используется для аутентификации через worker-ssh без повторного ввода пароля или OTP.
Сертификат имеет ограниченный срок действия и привязку к IP-адресу пользователя.

Безопасность

Доступ разрешен только к серверам, предусмотренным ролевой моделью.
Каждый артефакт уникален для пользователя и генерируется заново при каждом запросе.
BI.ZONE PAM Vault SSH CA подписывает сертификаты, обеспечивая доверие со стороны целевых серверов.

Как работают SSH-подключения по сертификатам?

Как хранятся секреты в BI.ZONE PAM?