administrasi kunci ssh untuk banyak pengguna, server

8

Perusahaan saya memiliki beberapa server Ubuntu jarak jauh. Akses ke server ini dikendalikan oleh kunci ssh. Mengelola kunci-kunci ini cukup menyebalkan, terutama ketika seorang karyawan meninggalkan atau bergabung dengan perusahaan.

Apakah ada solusi yang baik untuk manajemen kunci pusat di Ubuntu?

Adam

Adam Matan
sumber

Jawaban:

4

Pemandangan

Canonical's Landscape membuatnya sangat mudah untuk mengelola banyak mesin sekaligus.

Anda bisa memiliki toko kunci terpusat dan, sesuai permintaan, mendorong perubahan ke file_hosts setiap mesin yang dikenal.

Rsync

Atau, jika Anda tidak ingin menggunakan Lansekap, bagaimana dengan hanya menyinkronkan hosting yang dikenal melalui rsync ? Saya tidak terlalu akrab dengan semua bisnis giat ini, tetapi harus bekerja dengan sangat baik.

Dengan asumsi komputer perusahaan dimatikan setiap malam, saya akan melakukan ini:

  • Memiliki di beberapa server file diketahui_hosts terpusat yang Anda kelola secara manual.
  • tulis sebuah program yang sangat sederhana yang, pada saat boot, mencoba mengambil file itu dan mengganti yang sekarang
  • di sisi administrasi, uji semua diubah ke file master sebelum mendorongnya, yang Anda lakukan dengan hanya mengganti yang semua klien coba akses.

Anda bisa menggunakan RCS , favorit sysadmin lama, untuk mengelola berbagai versi file master Anda.

Perhatikan bahwa banyak sysadmin akan memberi tahu Anda bahwa memusatkan hal - hal adalah risiko keamanan, dan umumnya bukan ide bagus.

LDAP

Sekarang, saya bukan sysadmin (dan karena itu tidak dapat dipercaya tentang masalah ini). Anda benar-benar harus menanyakan pertanyaan ini di serverfault

LDAP tampaknya muncul di sana cukup banyak. Berikut sedikit informasi tentang cara mengambil Kunci Publik SSH dari LDAP , dan berikut ini beberapa lainnya .

Pertanyaan ini mungkin juga menarik bagi Anda.


Saya harap ini bermanfaat. Seperti yang telah Anda temukan sendiri, mengelola akses ssh dalam pengaturan besar sebenarnya cukup rumit.

Stefano Palazzo
sumber
Lihatlah pengaturan LDAP, dan pasang $ HOME pengguna melalui NFS. Ketika pengguna meninggalkan perusahaan, hapus akun LDAP-nya dan Anda selesai. (pengguna harus ada sebelum memverifikasi kunci ssh)
csgeek
1
Saya pikir maksudnya adalah authorized_keys tidak diketahui_hosts, meskipun keduanya sangat penting.
SpamapS
Wiki komunitas, karena - seperti yang saya katakan - saya bukan sysadmin. Edit jawaban ini untuk membuatnya lebih baik.
Stefano Palazzo
Bagaimana Anda melakukan ini dengan Landscape? Saya tidak melihat opsi.
vcardillo
1

Dimungkinkan untuk menggunakan otoritas sertifikasi dan mencabut spidol dalam file "host yang dikenal". Pilihan lain mungkin menggunakan beberapa metode otentikasi PAM "perusahaan".

JanC
sumber
2
Tautan akan sangat berguna.
Adam Matan