administration des clés ssh pour de nombreux utilisateurs, serveurs

8

Ma société possède des serveurs Ubuntu distants. L'accès à ces serveurs est contrôlé par des clés ssh. La gestion de ces clés est assez pénible, surtout lorsqu'un employé quitte ou rejoint l'entreprise.

Existe-t-il une bonne solution pour la gestion centrale des clés sur Ubuntu?

Adam

server  administration  ssh 
Adam Matan
source

Réponses:

4

Paysage

Le paysage de Canonical facilite la gestion de nombreuses machines à la fois.

Vous pouvez simplement avoir un magasin de clés centralisé et, à la demande, repousser les modifications du fichier known_hosts de chaque machine.

Rsync

Alternativement, si vous ne voulez pas utiliser Landscape, pourquoi ne pas simplement synchroniser les known_hosts via rsync ? Je ne connais pas très bien toute cette entreprise, mais cela devrait très bien fonctionner.

En supposant que les ordinateurs de l'entreprise soient éteints tous les soirs, je ferais ceci:

  • Avoir sur un serveur un fichier central_hosts centralisé que vous gérez manuellement.
  • écrire un programme très simple qui, au démarrage, essaie de récupérer ce fichier et de remplacer celui en cours
  • du côté administratif, testez tous les éléments modifiés dans le fichier maître avant de le supprimer, ce que vous faites en remplaçant simplement celui auquel tous les clients tentent d'accéder.

vous pouvez utiliser RCS , un ancien favori d'un administrateur système, pour gérer différentes versions de votre fichier maître.

Notez que de nombreux administrateurs système vous diront que la centralisation des choses est un risque pour la sécurité et n'est généralement pas une excellente idée.

LDAP

Maintenant, je ne suis pas un administrateur système (et donc je ne dois pas faire confiance à ce sujet). Vous devriez vraiment poser cette question sur serverfault

LDAP semble y arriver beaucoup. Voici quelques informations sur la récupération des clés publiques SSH à partir de LDAP , et en voici d' autres .

Cette question pourrait également vous intéresser.


J'espère que ceci est utile. Comme vous l'avez découvert vous-même, la gestion de l'accès ssh dans les grandes configurations est vraiment assez compliquée.

Stefano Palazzo
source
Examinez la configuration de LDAP et montez $ HOME de l'utilisateur via NFS. Lorsque l'utilisateur quitte l'entreprise, supprimez son compte LDAP et vous avez terminé. (l'utilisateur doit exister avant de vérifier la clé ssh)
csgeek
1
Je pense qu'il voulait dire des hôtes autorisés, pas des hôtes connus, bien que les deux soient très importants.
SpamapS
Made it wiki communautaire, car - comme je l'ai dit - je ne suis pas un administrateur système. Modifiez cette réponse pour l'améliorer.
Stefano Palazzo
Comment faites-vous cela avec Paysage? Je ne vois pas l'option.
vcardillo
1

Il est possible d'utiliser les autorités de certification et de révoquer les marqueurs dans le fichier "hôtes connus". Une autre option consiste probablement à utiliser une méthode d'authentification PAM "entreprise" à la place.

JanC
source
2
Un lien serait extrêmement utile.
Adam Matan
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.