administración de claves ssh para muchos usuarios, servidores

8

Mi empresa tiene algunos servidores remotos de Ubuntu. El acceso a estos servidores está controlado por claves ssh. Administrar estas claves es bastante difícil, especialmente cuando un empleado se va o se une a la empresa.

¿Existe una buena solución para la administración central de claves en Ubuntu?

Adán

Adam Matan
fuente

Respuestas:

4

Paisaje

Canonical's Landscape hace que sea muy fácil administrar muchas máquinas a la vez.

Simplemente podría tener un almacén de claves centralizado y, a pedido, enviar cambios al archivo conocido_hosts de cada máquina.

Rsync

Alternativamente, si no desea usar Landscape, ¿qué tal simplemente sincronizar los unknown_hosts a través de rsync ? No estoy tan familiarizado con todo este negocio emprendedor, pero debería funcionar muy bien.

Suponiendo que las computadoras de la compañía se apaguen todas las noches, haría esto:

  • Tenga en algún servidor un archivo centralizado de unknown_hosts que administre manualmente.
  • escribe un programa muy simple que, en el momento del arranque, intenta recuperar ese archivo y reemplazar el actual
  • en el aspecto administrativo, pruebe todos los cambios en el archivo maestro antes de sacarlo, lo que debe hacer simplemente reemplazando al que todos los clientes intentan acceder.

podría usar RCS , el favorito de un viejo administrador de sistemas, para administrar diferentes versiones de su archivo maestro.

Tenga en cuenta que muchos administradores de sistemas le dirán que centralizar las cosas es un riesgo de seguridad y, en general, no es una gran idea.

LDAP

Ahora, no soy un administrador de sistemas (y, por lo tanto, no se debe confiar en este asunto). Realmente deberías hacer esta pregunta en serverfault

LDAP parece aparecer mucho allí. Aquí hay un poco de información sobre la obtención de claves públicas SSH desde LDAP , y aquí hay más .

Esta pregunta también puede ser de su interés.


Espero que esto sea útil. Como descubrió usted mismo, administrar el acceso ssh en configuraciones grandes realmente es bastante complicado.

Stefano Palazzo
fuente
Examine la configuración de LDAP y monte el $ HOME del usuario a través de NFS. Cuando el usuario abandone la empresa, elimine su cuenta LDAP y listo. (el usuario debe existir antes de verificar la clave ssh)
csgeek
1
Creo que se refería a "claves autorizadas no conocidas", aunque ambas son muy importantes.
SpamapS
Lo hice wiki comunitario, porque, como dije, no soy un administrador de sistemas. Edite esta respuesta para mejorarla.
Stefano Palazzo
¿Cómo haces esto con Landscape? No veo la opción
vcardillo
1

Es posible utilizar autoridades de certificación y revocar marcadores en el archivo "hosts conocidos". Probablemente, otra opción es utilizar algún método de autenticación PAM "empresarial".

JanC
fuente
2
Un enlace sería extremadamente útil.
Adam Matan el