複数のシステム管理者向けのパスワード管理システム?

16

組織が複数のパスワードを安全に保存し、複数の管理者がそれらにアクセスできるようにするベストプラクティスと潜在的なオープンソースプロジェクトに興味があります。各管理者が、通常のパスワードで保護されたExcelスプレッドシートに対して、独自のログイン/キーを持つことができるものに興味があります。;)

SSLを介して実行できるWebベースのアプリケーションが望ましいでしょう。

Mac / Linux環境で実行する必要があります-Windowsアプリはありません。

ありがとう!

linux  password 
アーロン・ブラウン
ソース
3
だまされやすい人:serverfault.com/questions/10285/…およびその他を参照してください。–
Toto
3
Linuxで実行するソリューションが必要だということを忘れていました。Windowsアプリはありません、お願いします:)
アーロンブラウン
私もその問題を抱えています。ベンダーからのシステムを使用する必要がありますが、現在はgpg暗号化ファイルを使用していますが、それはすべての管理者がすべてのパスワードにアクセスできることを意味します。CLI、デスクトップ、またはWebツールであっても、チーム内のさまざまな人々にさまざまなサイト(パスワード)のアクセスリストを定義できるようにしたいのです。サードパーティのアプリのパスワード管理は、本当に手の込んだものが必要です。多分私達はより良い方法でそれのための必要条件をうまくできcommuniyウィキエントリを作成するためのケア
serverhorror
パスワードの共通ストアにアクセスする複数の管理者の認証を処理するための本当に良い解決策は存在しないように思えます。そのようなことは私に衝撃を与えます。たぶん私は1つだけを書かなければならないでしょう。
アーロンブラウン
1
正確には、複数のシステム管理者がいる場合、誰が何にアクセスできるかを制御し、すべてのキー/パスワードを変更せずにアクセスを削除する方法が必要です。また、監査用です-誰がどのパスワードにいつアクセスしたか。
アーロンブラウン

回答:

3

これを使用します:http : //sourceforge.net/projects/phppassmanager/(少し変更/調整)

パスワードの取得をチームに制限するために、Active Directory認証を使用するHTTPS Webサーバーにインストールされます。チームの各メンバーは、phppassmanagerに保存されているすべてのパスワードの暗号化に使用されるマスターパスワードを知っています。彼らは、パスワードを追加/変更/読み取りするときに使用します。パスワードは暗号化されてmysqlデータベースに保存されます。

潜在的にすべてのパスワードにアクセスできますが、各パスワードの復号化は記録され、ログはメインページでチーム全体に表示されます。このシステムは自己監視および自己管理されています。

2

KeePassを使用していますが、とても満足しています。オープンソースの使いやすいパスワードマネージャーです。

ポール
ソース
2
これはウィンドウであり、単一のログインのみを許可します。各システム管理者が個別にログインできるように、マルチログインソリューションが必要です。これは、これを処理する唯一の管理可能で安全な方法です。私は、これを行う製品が大量にないことにショックを受けています。
アーロンブラウン
1
ああ、私は間違っています-KeePassは他のプラットフォームに移植されました
アーロンブラウン
はい、KeePassは間違いなく他のプラットフォームに移植されています。
ポール
0

このシステムで何を正確に保護していますか?あなたが制御するシステム、またはサードパーティによって実行されるシステム?

内部認証の場合、Kerberos、LDAP、またはsudoやPKIなどのシステムでもこれを処理できます。

外部の認証については、ソフトウェアサポートWebサイトに言うと、それらが実装するシステムに圧倒されます。KeePass(2.0ではモノで動作します)やPasswordGorillaなどのツールでパスワードを保存できます。どちらも複数の別々の復号化パスワードの概念をサポートしていないと思います。それが数学的にどのように機能するかはわかりません。

jldugger
ソース
LDAPとKerberosは認証システムであり、パスワード管理システムではありません。ルートパスワード、ルーターパスワード、LDAPマネージャーパスワードを保存する方法が必要です。システム管理者がジャグリングするために必要な80億のパスワードのいずれかです。
アーロンブラウン
はい、はい、それらは認証システムです。これらを使用して、hokey excelスプレッドシートなしでシングルサインオンを実装します。
jldugger 2009年
分かりますか?すべてを単一のLDAPまたはkerberosサーバーに接続できるわけではありません。たとえば、サーバールートパスワードをLDAPに保存したり、ルーターイネーブルパスワードを使用したりしないでください。
アーロンブラウン
正しく実行すれば、これらのパスワードへのアクセスを効率化するツールは必要ありません。はい、ネットワークがダウンしている場合、システムはおそらく内部認証を必要とします。しかし、サーバーの場合、なぜsudoとPKIを使用しないのですか?ルートアカウントなし、明確な監査、およびネットワークに依存しません。
jldugger 2009年
私たちは、やるところ我々はできるPAMモジュールを使用LDAPとsudoを。まだ対処すべきアカウントが他にもたくさんあります。さらに、ルートアカウントパスワードのドキュメントが必要であり、すべてをLDAPシステムにフックできるわけではありません。また、LDAPが使用できず、システムにアクセスする必要がある場合に使用する必要があるアカウントもあります。より良い方法があると思われることを感謝しますが、実用的で可能な場合はすでに集中認証を使用しています。時々パスワードにアクセスできる必要がある複数のシステム管理者がまだいます。
アーロンブラウン
0

私がこれまでに読んだことに関しては、データベースバックエンドを備えたウィキシステム(ファイルストアバックエンドでも、dbを好む)は問題を解決するはずです。ユーザーアカウントに適切な制限を設定すると、信頼できるユーザー(管理者)のみがパスワードリストを読み取り/変更できます(プレーンHTMLドキュメント:))。

SSL対応サーバーの背後に置き、データベースへのアクセスを制限します。

晴れ
ソース
1
堅牢な監査証跡と報告メカニズムがあれば、これで問題ありません。誰かが組織を離れるときに、変更する必要のあるすべてのパスワードを表示するレポートを実行します。SSLで保護されたWikiのようなものは良いアイデアですが、レポート作成を簡単に行えるように、パスワード固有のスキーマが少し必要です。
エヴァンアンダーソン
1
@Evan、おそらくこの要件を含めるように質問を更新する必要があります。
ゾレダチェ09年
1
エヴァンは、元の質問を1 ...ありませんでした
カミルKisiel
0

PowerBrokerは、共有アカウントへのアクセスを制御/監査するために特別に設計されたベンダー製品です。ただし、ホストごとのライセンスコストがかなりかかります。

ムラリ・スリアー
ソース
0

私は非常にセキュリティ重視の会社で働いていましたが、5人のチームでKeePassを使用しました。暗号化が強力で、クロスプラットフォームであり、複数のデータベースを自分のデータベースにインポートできるからです。キー認証が必要なSSHログインを介して内部ネットワークからのみアクセス可能なシステムに保存しました(パスワードなし、ありがとう!)。

ジャンバーマン
ソース
キーは暗号化されていますか?
jldugger 2009年
システムにプッシュされるのは公開鍵だけでした。秘密鍵は個人のワークステーションに残りました。
jtimberman 2009年
0

キーパスを使用しますこれは非常にクールなソフトウェアであり、パスワードをカテゴリ別に整理できます。ただし、異なるレベルのユーザーがログオンできるかどうかはわかりません。

vmdaemon
ソース
0

私はそれがあなたが必要とするものであるかどうか正確にはわかりませんが、これは私たちのために機能します。keepassxまたは同様のツールの代わりにこのアプローチの主な利点は、1)自由形式の情報をそこに置くことができ、2)gpg --decryptをパイプに送信して端末で使用できることです。

確かに、これは10人までのグループでのみ機能しますが、多少の委任を加えると少しスケールアップできます。また、実際にはアクセスレベルが異なる2つのキーと2つの暗号化されたファイルがありますが、これはあまり変わりません。

ああ、私たちは(主に個人のSSHキーを使用して)可能な限りパスワードを処理しないようにする傾向があります。

rpetre
ソース
0

私はまったく同じものを探していますが、あなたのニーズに合うかもしれない2つを見つけました。

Web-KeePass-これは必要なことを行うように思えますが、私はまだすべてのオプションを見つけようとしています。

CorporateVault-非常に基本的であり、初期段階にあります。インターフェイスは完成していませんが、理解するのは非常に簡単です。

ジョセフ
ソース
0

sysPassは良い選択だと思います。提供するもの:

  1. AES-256 CBCによるパスワード暗号化。
  2. ユーザーとグループの管理
  3. MySQL、OpenLDAPおよびActive Directory認証。
  4. 多言語
  5. などなど
CDieck
ソース
0

Thycotic Secret Server。

私たちはこれを長年会社で使用しています。パスワードの自動変更、特定のパスワードにアクセスしたときに送信されるメールなど、多くの優れた機能があります。

また、定期的な更新を提供し、機能を追加します。

https://thycotic.com/products/secret-server/

adivis12
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.