Kami adalah toko yang relatif kecil (sejauh jumlah sysadmin) dengan campuran server RHEL, Solaris, Windows 2003 dan Windows 2008; sekitar 200 server semuanya.
Untuk akun administrator kami ( root
di Linux dan admnistrator
Windows), kami memiliki skema kata sandi yang tergantung pada lokasi pusat data dan beberapa properti server lainnya yang terdokumentasi.
Pada Linux, praktik kami saat ini adalah untuk menciptakan sebuah shared account non-hak istimewa di mana kita bisa su
untuk root
. Pada sistem berbasis Windows, kami membuat akun tambahan dengan hak administrator. Kedua akun ini memiliki kata sandi yang sama.
Ini terbukti sangat tidak efisien. Ketika seseorang meninggalkan toko kami, kami harus:
- Ubah skema kata sandi untuk akun administrator
- Hasilkan kata sandi administrator baru untuk setiap server
- Munculkan kata sandi akun non-administrator yang baru
- Sentuh setiap server dan ubah kata sandi
Saya ingin tahu apakah ada orang di lingkungan yang sama yang dapat menyarankan cara yang lebih waras untuk mengelola kredensial ini. Beberapa informasi yang relevan:
- Meskipun sebagian besar server kami adalah bagian dari domain AD kami, tidak semuanya.
- Kami mengelola semua server Linux kami dengan Puppet (otentikasi kunci adalah pilihan yang saya pikirkan tetapi hanya akan mengatasi masalah # 3 dari atas).
- Kami menyediakan Linux severs dengan Cobbler.
- Sekitar 10% dari perangkat keras kami didedikasikan untuk VMWare. Dalam kasus tersebut, kami menggunakan template VMWare untuk server build.
Setiap ide atau saran akan sangat dihargai. Ini adalah masalah yang telah bertahan lama dan akhirnya saya ingin mengatasinya.
sumber
Anda dapat mencoba dan melihat apakah FreeIPA berfungsi untuk Anda.
Anda dapat mengelola akses pengguna ke host dari lokasi pusat. Seperti yang disarankan oleh orang lain, Anda dapat melihat apakah sudo berfungsi untuk Anda untuk akses tingkat root. Freeipa mendukung sudoers di LDAP, jadi Anda tidak harus memeliharanya di setiap server atau melalui boneka dll.
Freeipa mendukung klien Linux, Solaris dan Windows. Anda mungkin kehilangan fitur AD tertentu dan saya tidak yakin apa batasan lain yang dimiliki klien Windows.
Ini memiliki fitur replikasi, sehingga Anda dapat menghindari SPOF. Backend adalah LDAP, jadi Anda dapat menggunakan kembali banyak alat yang digunakan orang untuk LDAP, seperti skrip cadangan.
Ini mendukung kontrol akses berbasis host, sehingga Anda dapat mengatakan "pengguna X hanya dapat masuk ke server Y".
Ini juga menawarkan sinkronisasi AD . Saya bukan orang Windows, jadi saya tidak tahu apa artinya itu.
sumber
Jangan gunakan akun Administrator standar. Di sisi Windows, buat akun pengguna dan akun Admin untuk setiap pengguna yang membutuhkan akses Admin. Anda dapat menggunakan alat apa pun untuk menyinkronkan ke UNIX.
Jika seseorang pergi, maka Anda hanya perlu menghapus pengguna dan akun Admin mereka.
Untuk mengamankan akun Administrator standar, berikan kata sandi yang sangat panjang dan kompleks, lalu pastikan bahwa setiap orang hanya memiliki setengah. Jika mereka perlu menggunakan seluruh akun, maka mereka perlu mencari seseorang yang memiliki setengah lainnya.
Itu tentang seaman yang saya bisa pikirkan.
sumber