多くのユーザー、サーバーのsshキー管理

8

私の会社にはいくつかのリモートUbuntuサーバーがあります。これらのサーバーへのアクセスは、sshキーによって制御されます。これらのキーを管理することは、特に従業員が会社を辞めたり、入社したりするときに、非常に困難です。

Ubuntuでの鍵の集中管理に適したソリューションはありますか?

アダム

server  administration  ssh 
アダム・マタン
ソース

回答:

4

横向き

CanonicalのLandscapeは、一度に多くのマシンを管理することを非常に簡単にします。

一元化されたキーストアを用意し、必要に応じて、すべてのマシンのknown_hostsファイルに変更をプッシュすることができます。

Rsync

あるいは、Landscapeを使用したくない場合は、rsyncを使用してknown_hostsを単純に同期してみませんか?私はこのエンタープライズビジネスに精通しているわけではありませんが、うまく機能するはずです。

会社のコンピュータが毎晩シャットダウンすると仮定すると、私はこれを行います:

  • 一部のサーバーには、手動で管理する一元化されたknown_hostsファイルがあります。
  • 起動時に、そのファイルをフェッチして現在のファイルを置き換えようとする非常に単純なプログラムを記述します
  • 管理側では、すべてのクライアントがアクセスしようとするファイルを置き換えるだけで、プッシュする前にすべての変更をマスターファイルに変更してテストします。

古いシステム管理者のお気に入りであるRCSを使用して、マスターファイルのさまざまなバージョンを管理できます。

多くのシステム管理者は、一元化はセキュリティリスクであり、一般的には優れたアイデアではないと言うことに注意してください。

LDAP

現在、私はシステム管理者ではありません(したがって、この問題について信頼されません)。あなたは本当にserverfaultでこの質問をする必要があります

LDAPはかなり多く登場しているようです。ここでフェッチについて少し情報ですLDAPからSSH公開鍵は、ここだもう少し

この質問はあなたにとっても興味深いかもしれません。


これがお役に立てば幸いです。ご存じのとおり、大規模なセットアップでのsshアクセスの管理は非常に複雑です。

Stefano Palazzo
ソース
LDAPの設定を調べ、NFSを介してユーザーの$ HOMEをマウントします。ユーザーが退職したら、LDAPアカウントを削除すれば完了です。(ユーザーはSSHキーを検証する前に存在する必要があります)
csgeek 2010年
1
私は彼がknown_hostsではなくauthorized_keysを意味していたと思いますが、どちらも非常に重要です。
SpamapS 2010年
私が言ったように-私はシステム管理者ではないので、コミュニティウィキにしました。この回答を編集して改善してください。
ステファノパラッツォ
ランドスケープでこれをどのように行いますか?オプションが表示されません。
vcardillo
1

証明機関を使用して、「既知のホスト」ファイルのマーカーを取り消すことができます。別のオプションは、おそらく代わりに「エンタープライズ」PAM認証方式を使用することです。

JanC
ソース
2
リンクは非常に役に立ちます。
Adam Matan 2010年
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.