Ich sehe die Gefahr des Veruntreuens von Passwort oder Passphrase.
Diese Methode eignet sich auch für nicht-verschlüsselnde Dienste zum Login. Dabei muss aber das Unix-Password/ssh-Passphrase eingegeben werden, welches eigentlich im eigenen Protokoll versteckt übertragen wird. Beliebte Protokolle sind XDMCP, ftp, telnet, pop3, http, aber auch Remote-Konsolen (Modem) sind problematisch. Wird pam_ssh selektiv für Dienste verwendet, ist der Vorteil des Single-Sign-On weg.
Wer sowieso Shell-Zugang hat, der sollte sich per SSH einloggen und eventuell noch paar Tunnel bauen (für X11 z.B.). Die anderen Dienste sollten in Ihrer ssl-Version den Verrat verhindern.
Diese Methode eignet sich auch für nicht-verschlüsselnde Dienste zum Login. Dabei muss aber das Unix-Password/ssh-Passphrase eingegeben werden, welches eigentlich im eigenen Protokoll versteckt übertragen wird. Beliebte Protokolle sind XDMCP, ftp, telnet, pop3, http, aber auch Remote-Konsolen (Modem) sind problematisch.
Wird pam_ssh selektiv für Dienste verwendet, ist der Vorteil des Single-Sign-On weg.
Wer sowieso Shell-Zugang hat, der sollte sich per SSH einloggen und eventuell noch paar Tunnel bauen (für X11 z.B.). Die anderen Dienste sollten in Ihrer ssl-Version den Verrat verhindern.
Oder habe ich was übersehen?