Kami mencari untuk beralih ke manajemen SSH berbasis login, dan bertanya-tanya apakah ada sistem manajemen kunci yang akan memungkinkan kami untuk mengelola secara terpusat kunci akses di seluruh dunia.
Sistem idealnya harus memungkinkan mengeluarkan kunci per klien, dan mencabutnya jika perlu, memperbarui kunci mesin server dengan cepat.
Apakah ada yang tahu sistem seperti itu, baik komersial atau open source?
CATATAN: Untuk memperjelas, kami memerlukan manajemen kunci untuk sejumlah besar server cloud (mirip EC2), dan sejumlah kecil pengguna layanan. Saya kira tambalan LDAP + menyarankan di bawah ini mungkin cara untuk pergi.
Jawaban:
Ada banyak cara untuk melakukan ini. Penyimpanan kunci LDAP telah disebutkan beberapa kali, dan saya telah melakukannya dan berfungsi, sejauh yang dilakukannya. LDAP memiliki keingintahuan manajemennya sendiri, yang membutuhkan pembelajaran.
Saya penggemar berat server sederhana dan tangguh yang memiliki ketergantungan jaringan eksternal minimal untuk hal-hal sederhana seperti otentikasi administrator, jadi saya condong ke arah strategi distribusi kunci SSH yang jauh lebih kuat - Saya memiliki sistem manajemen konfigurasi yang menanganinya. Kunci publik semua orang disimpan dalam sistem manajemen konfigurasi, dan di mana pun orang itu perlu bisa login, kunci mereka ditambahkan. Sistem konfigurasi juga tahu untuk menghapus kunci yang tidak ditentukan, jadi ketika seseorang meninggalkan atau kunci mereka berubah, itu adalah masalah sederhana menghapus konfigurasi kunci dan pada menjalankan sistem konfigurasi berikutnya, kunci tersebut dihapus.
sumber
Pasangan kunci harus dibuat oleh pengguna.
Pengguna mempertahankan setengah privat - Anda seharusnya tidak pernah melihatnya. Jika Anda memiliki kunci pribadi seseorang dalam bentuk di mana Anda dapat membaca / menggunakannya Anda melakukan kesalahan keamanan.
Setengah publik diberikan kepada Anda (dengan mekanisme apa pun yang Anda inginkan: Formulir web, email, berikan-untuk-saya-di-CD), untuk dipusatkan sesuai keinginan Anda. Beberapa tempat menyimpan kunci publik di LDAP. Lainnya mendorong
authorized_keys
file menggunakan sistem penyebaran mereka.Di lingkungan saya, pengguna yang membutuhkan akses shell memberi saya kunci publik mereka. Kunci-kunci ini ditambahkan ke sistem LDAP kami, dan
sshd
berkonsultasi dengan kunci publik yang tercantum untuk setiap pengguna untuk mengotentikasi mereka, melalui patch Kunci Publik LDAP .Ketika seseorang perlu menambahkan kunci tambahan atau mencabut kunci yang sudah ada, mereka memberi tahu admin, dan kami menanganinya. Akhirnya saat kita skala saya akan menerapkan sistem yang memungkinkan orang memutar kunci publik mereka sendiri.
Setiap situs kami memiliki sepasang server LDAP, disinkronkan ke master kami dengan replikasi LDAP, yang menjaga data konsisten (dan dapat diakses) di setiap lokasi.
Semua yang saya jelaskan dapat dilakukan dengan perangkat lunak sumber terbuka. Ada juga produk komersial yang melakukan hal yang sama.
Anda perlu meneliti opsi yang tersedia dengan lebih teliti dan memutuskan mana yang paling sesuai dengan lingkungan Anda. Jika Anda memiliki pertanyaan lebih lanjut (lebih spesifik) kami mungkin bisa lebih membantu.
sumber
/etc/passwd
dan/etc/group
file (memungkinkan mesin untuk beroperasi secara normal dan layanan terkait untuk memulai / menjalankan bahkan jika LDAP tidak tersedia)Keypairs tidak boleh dibuat di mana pun kecuali di komputer masing-masing pengguna. Kunci pribadi dinamai demikian karena suatu alasan.
Yang mengatakan, saya bisa melihat use case untuk semacam repositori terpusat dari kunci publik pengguna. Salah satu opsi adalah menyimpan kunci publik di OpenLDAP - versi terbaru OpenSSH dapat membaca kunci dari LDAP.
sumber
Saya tahu ini adalah pertanyaan yang sedikit lebih tua, tetapi Google mengembalikannya cukup tinggi ketika mencari hal semacam ini.
Bagi kita yang mencari solusi selain LDAP, saya baru saja menemukan proyek "SKM": https://sites.google.com/site/jeromeboismartel/code-s-corner/ssh-key-management-with-skimp
sumber
Ada banyak solusi komersial dan open source yang hebat, seperti Userify [1] (tempat saya bekerja), Universal Key Manager [2], SSH Key Box [3], dll. Itu tergantung pada apa kebutuhan Anda dan jika Anda menginginkannya. mencari sesuatu yang memusatkan manajemen sementara operasi desentralisasi (sehingga server Anda tidak bergantung pada otoritas pusat untuk masuk ... dalam hal itu, Anda mungkin tidak dapat masuk ke server mana pun, jika, katakanlah, server Anda Server LDAP sedang down!)
https://userify.com
https://www.ssh.com/products/universal-ssh-key-manager/
https://www.sshkeybox.com
Lihat juga diskusi miring ini:
https://www.slant.co/topics/8010/~managers-for-ssh-keys
sumber