Système de gestion des clés SSH

8

Je cherche à passer d'un système basé sur un mot de passe (dont je commence à être submergé) à un système basé sur des clés SSH.

Je voudrais savoir s'il existe un système de gestion de clés SSH ou une solution serveur, qui me permettrait de distribuer et de révoquer des clés sur des machines?

Ou la meilleure approche consiste à utiliser Puppet pour cette tâche? Si oui, alors l'approche d'une paire de clés unique par machine client (décrite ici: Meilleur système pour gérer les clés ssh? ) Serait la meilleure?

SyRenity
la source

Réponses:

3

Oui, Puppet est la bonne façon de le faire, et à partir de cette autre question, l'option 3 semble être la plus sensée (en plus d'être la réponse acceptée [toujours un bon signe!]).

Il y a un module ssh_key pour marionnette qui rend le tout trivialement facile.

Tom O'Connor
la source
Pouvez-vous me diriger vers ce module? De plus, au cas où un client serait compromis (ordinateur portable volé par exemple), je peux facilement désactiver cette clé publique? Et je peux facilement ajouter de nouvelles clés?
SyRenity
1
Oui, il est facile d'ajouter et de supprimer des clés de manière centralisée, bien que pratiquement tous les modules de gestion de clés SSH accessibles au public pour marionnettes soient ass; il est plus simple d'utiliser directement un fichier fragmenté.
womble
Pouvez-vous expliquer ce que vous entendez par fichier fragmenté? Est-ce un fichier stocké centralement ou quelque chose?
SyRenity
1
Je semble me souvenir qu'il s'agit d'une combinaison de reductivelabs.com/trac/puppet/wiki/… et reductivelabs.com/trac/puppet/wiki/Recipes/Authorized_keys Je vérifierai plus tard ce que c'était exactement.
Tom O'Connor
3

SSH est sympa, mais lorsque vous commencez à évoluer vers un grand nombre de clés et de listes de contrôle d'accès, il devient très rapidement laid.

Kerberos a été conçu pour fonctionner dans ce type d'environnement (beaucoup d'ACL, révocation de clés, etc.) La gestion des utilisateurs avec kerberos est pénible, mais si vous avez un très petit nombre d'utilisateurs, c'est assez facile.

chris
la source
Merci, allez le vérifier, pensait que les clés SSH via les sons de marionnettes étaient une approche plus rapide.
SyRenity