Wiele firm loguje się do domen Windows w trybie single sign-on, używając razem z SSH mechanizmu uwierzytelniania Kerberos (lub Active Directory). NIST zwraca uwagę, że większość implementacji SSH wspiera domyślnie mechanizmy logowania single sign-on (czyli SSH plus Active Directory lub Kerberos). Ale logowanie single sign-on pracuje w ten sposób, że gdy administrator uzyskuje przy użyciu systemu Keberos dostęp do jednego konta, może się w ten sposób logować do każdego innego serwera (nie uwierzytelniając się powtórnie), jeśli jest na nim skonfigurowane takie samo konto i należy do tej samej domeny. Nie jest to najlepsze rozwiązanie, dlatego NIST zaleca: tego rodzaju mechanizmu uwierzytelniania (z wykorzystaniem oprogramowania Kerberos) nie powinno się stosować w systemach SSH zapewniających administratorom automatyczny dostęp do serwerów.

Mechanizm uwierzytelniania SSH oparty na kluczach publicznych zapewnia bezpieczeństwo dzięki temu, że klient SSH jest w posiadaniu odpowiedniego klucza (identity key; klucz identyfikacji). Najczęściej jest to prywatny klucz RSA lub DSA, weryfikowany przez serwer, do którego administrator chce uzyskać dostęp. Klucze identyfikacji są zazwyczaj przechowywane na inteligentnych kartach lub w specjalnych plikach, do których dostęp chroniony jest hasłem. NIST zauważa, że wiele implementacji SSH opartych na kluczach publicznych dopuszcza możliwość wprowadzania do mechanizmów uwierzytelniania różnego rodzaju ograniczeń. Można deklarować, jakiego rodzaju operacje użytkownik określonego klucza może przeprowadzać na serwerze (ograniczenie command restrictions), względnie jakie adresy IP klienta systemu SSH będą akceptowane (ograniczenie source restrictions).

Zobacz również:

• Rząd USA pomoże amerykańskim firmom wdrażać rozwiązania wykorzystujące technologię AI

Mechanizmy uwierzytelniania oparte na kluczach publicznych mają jedną podstawową zaletę. Nie tworzą trwałych relacji zaufania, tylko relacje typu ad-hoc. Do mechanizmów takich można też wprowadzać różnego rodzaju ograniczenia, definiując np. jakimi prawami dysponuje dany klient SSH. Właśnie dlatego NIST twierdzi, że tego rodzaju mechanizmy uwierzytelniania najlepiej nadają się do wdrażania systemów SSH zapewniających administratorom automatyczny dostęp do serwerów.