administration des clés ssh pour de nombreux utilisateurs, serveurs
8
Ma société possède des serveurs Ubuntu distants. L'accès à ces serveurs est contrôlé par des clés ssh. La gestion de ces clés est assez pénible, surtout lorsqu'un employé quitte ou rejoint l'entreprise.
Existe-t-il une bonne solution pour la gestion centrale des clés sur Ubuntu?
Vous pouvez simplement avoir un magasin de clés centralisé et, à la demande, repousser les modifications du fichier known_hosts de chaque machine.
Rsync
Alternativement, si vous ne voulez pas utiliser Landscape, pourquoi ne pas simplement synchroniser les known_hosts via rsync ? Je ne connais pas très bien toute cette entreprise, mais cela devrait très bien fonctionner.
En supposant que les ordinateurs de l'entreprise soient éteints tous les soirs, je ferais ceci:
Avoir sur un serveur un fichier central_hosts centralisé que vous gérez manuellement.
écrire un programme très simple qui, au démarrage, essaie de récupérer ce fichier et de remplacer celui en cours
du côté administratif, testez tous les éléments modifiés dans le fichier maître avant de le supprimer, ce que vous faites en remplaçant simplement celui auquel tous les clients tentent d'accéder.
vous pouvez utiliser RCS , un ancien favori d'un administrateur système, pour gérer différentes versions de votre fichier maître.
Notez que de nombreux administrateurs système vous diront que la centralisation des choses est un risque pour la sécurité et n'est généralement pas une excellente idée.
LDAP
Maintenant, je ne suis pas un administrateur système (et donc je ne dois pas faire confiance à ce sujet). Vous devriez vraiment poser cette question sur serverfault
J'espère que ceci est utile. Comme vous l'avez découvert vous-même, la gestion de l'accès ssh dans les grandes configurations est vraiment assez compliquée.
Examinez la configuration de LDAP et montez $ HOME de l'utilisateur via NFS. Lorsque l'utilisateur quitte l'entreprise, supprimez son compte LDAP et vous avez terminé. (l'utilisateur doit exister avant de vérifier la clé ssh)
csgeek
1
Je pense qu'il voulait dire des hôtes autorisés, pas des hôtes connus, bien que les deux soient très importants.
SpamapS
Made it wiki communautaire, car - comme je l'ai dit - je ne suis pas un administrateur système. Modifiez cette réponse pour l'améliorer.
Stefano Palazzo
Comment faites-vous cela avec Paysage? Je ne vois pas l'option.
vcardillo
1
Il est possible d'utiliser les autorités de certification et de révoquer les marqueurs dans le fichier "hôtes connus". Une autre option consiste probablement à utiliser une méthode d'authentification PAM "entreprise" à la place.
Il est possible d'utiliser les autorités de certification et de révoquer les marqueurs dans le fichier "hôtes connus". Une autre option consiste probablement à utiliser une méthode d'authentification PAM "entreprise" à la place.
la source