administrasi kunci ssh untuk banyak pengguna, server
8
Perusahaan saya memiliki beberapa server Ubuntu jarak jauh. Akses ke server ini dikendalikan oleh kunci ssh. Mengelola kunci-kunci ini cukup menyebalkan, terutama ketika seorang karyawan meninggalkan atau bergabung dengan perusahaan.
Apakah ada solusi yang baik untuk manajemen kunci pusat di Ubuntu?
Canonical's Landscape membuatnya sangat mudah untuk mengelola banyak mesin sekaligus.
Anda bisa memiliki toko kunci terpusat dan, sesuai permintaan, mendorong perubahan ke file_hosts setiap mesin yang dikenal.
Rsync
Atau, jika Anda tidak ingin menggunakan Lansekap, bagaimana dengan hanya menyinkronkan hosting yang dikenal melalui rsync ? Saya tidak terlalu akrab dengan semua bisnis giat ini, tetapi harus bekerja dengan sangat baik.
Dengan asumsi komputer perusahaan dimatikan setiap malam, saya akan melakukan ini:
Memiliki di beberapa server file diketahui_hosts terpusat yang Anda kelola secara manual.
tulis sebuah program yang sangat sederhana yang, pada saat boot, mencoba mengambil file itu dan mengganti yang sekarang
di sisi administrasi, uji semua diubah ke file master sebelum mendorongnya, yang Anda lakukan dengan hanya mengganti yang semua klien coba akses.
Anda bisa menggunakan RCS , favorit sysadmin lama, untuk mengelola berbagai versi file master Anda.
Perhatikan bahwa banyak sysadmin akan memberi tahu Anda bahwa memusatkan hal - hal adalah risiko keamanan, dan umumnya bukan ide bagus.
LDAP
Sekarang, saya bukan sysadmin (dan karena itu tidak dapat dipercaya tentang masalah ini). Anda benar-benar harus menanyakan pertanyaan ini di serverfault
Lihatlah pengaturan LDAP, dan pasang $ HOME pengguna melalui NFS. Ketika pengguna meninggalkan perusahaan, hapus akun LDAP-nya dan Anda selesai. (pengguna harus ada sebelum memverifikasi kunci ssh)
csgeek
1
Saya pikir maksudnya adalah authorized_keys tidak diketahui_hosts, meskipun keduanya sangat penting.
SpamapS
Wiki komunitas, karena - seperti yang saya katakan - saya bukan sysadmin. Edit jawaban ini untuk membuatnya lebih baik.
Stefano Palazzo
Bagaimana Anda melakukan ini dengan Landscape? Saya tidak melihat opsi.
vcardillo
1
Dimungkinkan untuk menggunakan otoritas sertifikasi dan mencabut spidol dalam file "host yang dikenal". Pilihan lain mungkin menggunakan beberapa metode otentikasi PAM "perusahaan".
Dimungkinkan untuk menggunakan otoritas sertifikasi dan mencabut spidol dalam file "host yang dikenal". Pilihan lain mungkin menggunakan beberapa metode otentikasi PAM "perusahaan".
sumber