web-dev-qa-db-fra.com

Administration des clés ssh pour de nombreux utilisateurs, serveurs

Ma société a des serveurs distants Ubuntu. L'accès à ces serveurs est contrôlé par des clés ssh. La gestion de ces clés est assez pénible, en particulier lorsqu'un employé quitte l'entreprise ou rejoint l'entreprise.

Existe-t-il une bonne solution pour la gestion centralisée des clés sous Ubuntu?

Adam

8
Adam Matan

Landscape

Paysage de Canonical , il est très facile de gérer plusieurs machines à la fois.

Vous pouvez simplement avoir un magasin de clés centralisé et, à la demande, transmettre les modifications au fichier known_hosts de chaque ordinateur.

Rsync

Sinon, si vous ne souhaitez pas utiliser Landscape, pourquoi pas simplement synchroniser les hôtes connus via rsync ? Je ne connais pas très bien toutes ces entreprises, mais cela devrait fonctionner très bien.

En supposant que les ordinateurs de la société soient fermés toutes les nuits, voici ce que je ferais:

  • Avoir sur un serveur un fichier known_hosts centralisé que vous gérez manuellement.
  • écrivez un programme très simple qui, au moment du démarrage, essaie de récupérer ce fichier et de remplacer le fichier actuel
  • du côté administratif, testez tous les fichiers modifiés dans le fichier maître avant de les extraire, ce que vous faites en remplaçant simplement celui auquel tous les clients tentent d'accéder.

vous pouvez utiliser RCS , le favori d'un ancien administrateur système, pour gérer différentes versions de votre fichier maître.

Notez que de nombreux administrateurs système vous diront que centraliser les choses est un risque pour la sécurité, et généralement pas une bonne idée.

LDAP

Maintenant, je ne suis pas un administrateur système (et donc ne pas faire confiance à ce sujet). Vous devriez vraiment poser cette question sur serverfault

Le LDAP semble être assez fréquent. Voici quelques informations sur la récupération clés publiques SSH de LDAP , et voici n peu plus .

Cette question pourrait également vous intéresser.


J'espère que ceci est utile. Comme vous l'avez découvert vous-même, la gestion de l'accès ssh dans de grandes configurations est vraiment compliquée.

4
Stefano Palazzo

Il est possible d'utiliser des autorités de certification et de révoquer des marqueurs dans le fichier "hôtes connus". Une autre option consiste probablement à utiliser à la place une méthode d’authentification PAM "entreprise".

1
JanC