Jesteśmy stosunkowo małym sklepem (pod względem liczby sysadminów) z mieszanką serwerów RHEL, Solaris, Windows 2003 i Windows 2008; w sumie około 200 serwerów.
W przypadku naszych kont administratora ( root
w systemie Linux i admnistrator
Windows) mamy schemat haseł, który zależy od lokalizacji centrum danych i kilku innych udokumentowanych właściwości serwera.
W systemie Linux, nasza obecna praktyka jest utworzenie wspólnego konta nieuprzywijelowanym gdzie mogliśmy su
się root
. W systemach Windows tworzymy dodatkowe konto z uprawnieniami administratora. Oba te konta mają to samo hasło.
Okazało się to bardzo nieefektywne. Kiedy ktoś opuszcza nasz sklep, musimy:
- Zmień schemat haseł dla kont administratora
- Wygeneruj nowe hasło administratora dla każdego serwera
- Wymyśl nowe hasło do konta innego niż administrator
- Dotknij każdego serwera i zmień hasła
Chciałem wiedzieć, czy ktoś w podobnym środowisku może zasugerować bardziej rozsądny sposób zarządzania tymi poświadczeniami. Niektóre istotne informacje:
- Chociaż większość naszych serwerów należy do naszej domeny AD, nie wszystkie są.
- Zarządzamy wszystkimi naszymi serwerami Linux z Puppet (uwierzytelnianie klucza było opcją, o której myślałem, ale rozwiąże tylko problem nr 3 z góry).
- Zaopatrujemy serwery Linux w Cobbler.
- Około 10% naszego sprzętu jest dedykowane VMWare. W takich przypadkach używamy szablonów VMWare do kompilacji serwerów.
Wszelkie pomysły i sugestie będą mile widziane. Jest to problem, który utrzymuje się od dłuższego czasu i w końcu chcę go rozwiązać.
źródło
Możesz spróbować sprawdzić, czy FreeIPA działa dla Ciebie.
Możesz zarządzać dostępem użytkowników do hostów z centralnej lokalizacji. Jak sugerują inni, możesz sprawdzić, czy sudo działa dla Ciebie w celu uzyskania dostępu na poziomie root. Freeipa obsługuje sudoery w LDAP, więc nie musisz utrzymywać go na każdym serwerze lub przez marionetkę itp.
Freeipa obsługuje klientów Linux, Solaris i Windows. Możesz utracić niektóre funkcje AD i nie jestem pewien, jakie inne ograniczenia będzie miał klient Windows.
Ma funkcje replikacji, dzięki czemu można uniknąć SPOF. Backend to LDAP, więc możesz ponownie użyć wielu narzędzi używanych przez LDAP, takich jak skrypty kopii zapasowej.
Obsługuje kontrolę dostępu opartą na hoście, dzięki czemu można powiedzieć „użytkownik X może zalogować się tylko do serwerów Y”.
Oferuje także synchronizację AD . Nie jestem osobą z Windows, więc nie mam pojęcia, co to w ogóle oznacza.
źródło
Nie używaj standardowego konta administratora. Po stronie systemu Windows utwórz konto użytkownika i konto administratora dla każdego użytkownika, który potrzebuje dostępu administratora. Możesz użyć dowolnego narzędzia do synchronizacji z UNIX.
Jeśli ktoś odejdzie, wystarczy usunąć jego konto użytkownika i administratora.
Aby zabezpieczyć standardowe konto administratora, podaj mu naprawdę długie i złożone hasło, a następnie upewnij się, że jedna osoba ma tylko połowę. Jeśli muszą korzystać z całego konta, muszą znaleźć kogoś, kto ma drugą połowę.
To jest tak bezpieczne, jak tylko mogę sobie wyobrazić.
źródło