Manajemen kredensial server untuk Linux dan Windows


12

Kami adalah toko yang relatif kecil (sejauh jumlah sysadmin) dengan campuran server RHEL, Solaris, Windows 2003 dan Windows 2008; sekitar 200 server semuanya.

Untuk akun administrator kami ( rootdi Linux dan admnistratorWindows), kami memiliki skema kata sandi yang tergantung pada lokasi pusat data dan beberapa properti server lainnya yang terdokumentasi.

Pada Linux, praktik kami saat ini adalah untuk menciptakan sebuah shared account non-hak istimewa di mana kita bisa suuntuk root. Pada sistem berbasis Windows, kami membuat akun tambahan dengan hak administrator. Kedua akun ini memiliki kata sandi yang sama.

Ini terbukti sangat tidak efisien. Ketika seseorang meninggalkan toko kami, kami harus:

  1. Ubah skema kata sandi untuk akun administrator
  2. Hasilkan kata sandi administrator baru untuk setiap server
  3. Munculkan kata sandi akun non-administrator yang baru
  4. Sentuh setiap server dan ubah kata sandi

Saya ingin tahu apakah ada orang di lingkungan yang sama yang dapat menyarankan cara yang lebih waras untuk mengelola kredensial ini. Beberapa informasi yang relevan:

  • Meskipun sebagian besar server kami adalah bagian dari domain AD kami, tidak semuanya.
  • Kami mengelola semua server Linux kami dengan Puppet (otentikasi kunci adalah pilihan yang saya pikirkan tetapi hanya akan mengatasi masalah # 3 dari atas).
  • Kami menyediakan Linux severs dengan Cobbler.
  • Sekitar 10% dari perangkat keras kami didedikasikan untuk VMWare. Dalam kasus tersebut, kami menggunakan template VMWare untuk server build.

Setiap ide atau saran akan sangat dihargai. Ini adalah masalah yang telah bertahan lama dan akhirnya saya ingin mengatasinya.

Jawaban:


10

Beberapa saran yang akan saya miliki adalah:

  • Server yang terhubung dengan AD Windows dapat membuat kata sandi administrator lokal mereka melalui kebijakan grup dengan menggunakan Group Policy Preferences (GPP) atau skrip startup komputer. Lihat http://social.technet.microsoft.com/Forums/en-US/winserverGP/thread/b1e94909-bb0b-4e10-83a0-cd7812dfe073/

  • Batasi pembuatan akun lokal di server Windows kecuali diminta. Gunakan akun AD bila memungkinkan.

  • Gunakan LDAP untuk komputer Linux untuk mengautentikasi akun administrator ke AD. Ini agak menyederhanakan manajemen akun. Dan ketika admin meninggalkan hanya menonaktifkan di satu tempat dan tidak ada akses, maka Anda dapat membersihkan sisi Linux dengan santai.

  • Gunakan file / etc / sudoers untuk akun admin khusus di linux maka admin tidak perlu kata sandi root. Ini mungkin baik dalam contoh Anda karena mereka jarang memerlukan kata sandi root sehingga dapat dikunci. Diperbarui

  • Simpan kata sandi administrator lokal dan root di kata sandi aman bukan pengetahuan umum. Beberapa brankas kata sandi memiliki delegasi dan pencatatan sehingga Anda bahkan mungkin tidak perlu mengatur ulang kata sandi jika orang tersebut tidak pernah memiliki akses ke sana.

  • Otomatis proses reset kata sandi untuk akun root dan admin. Baik Linux dan Windows dapat ditulis untuk melakukan ini sehingga dapat menghemat waktu Anda dan tidak menjadikannya sebagai beban.

Semoga itu bisa membantu.


Masalah saya dengan LDAP adalah satu-satunya titik kegagalan. Saya lebih suka mengelola akun melalui Wayang. Dan hargai saran Anda. @Bernie terima kasih!
Belmin Fernandez

1
@Beaming Jika Anda menggunakan Active Directory, Anda dapat memiliki lebih dari satu Pengontrol Domain (tidak ada titik kegagalan) dan kemudian menunjuk ke nama domain DNS misalnya domain.com untuk mendapatkan semua pengontrol domain untuk kueri LDAP. Atau Anda dapat menyiapkan data DNS A untuk menunjuk ke DC tertentu jika Anda hanya ingin dua atau tiga merespons LDAP seperti ldap.domain.com. Saya belum pernah menggunakan Wayang, tetapi kunci untuk administrasi pengguna yang mudah adalah tidak memiliki sumber tunggal jika memungkinkan. Kemungkinan besar Wayang dapat terhubung ke server LDAP back-end jika Anda suka itu.
Bernie White

Setuju bahwa AD adalah cara untuk pergi ke sini. Dengan 2+ pengontrol domain, kemungkinan AD benar-benar turun tipis, tetapi juga, jika ya, kemungkinan Anda memiliki masalah yang jauh lebih besar. Pertahankan akun root lokal di server linux Anda untuk digunakan sebagai upaya terakhir jika semuanya gagal.
EEAA

2
@Bernie - tentang poin ke-3 Anda. Saat menggunakan sudo, tidak ada yang perlu tahu kata sandi root. Dengan menentukan "NOPASSWD" pada entri sudo, pengguna tidak perlu memasukkan kata sandi mereka sendiri . Ini tidak ada hubungannya dengan kata sandi root.
EEAA

@ErikA +1 Sangat benar. Referensi dihapus untuk NOPASSWD karena tidak membantu menjawab pertanyaan /
Bernie White

2

Anda dapat mencoba dan melihat apakah FreeIPA berfungsi untuk Anda.

Anda dapat mengelola akses pengguna ke host dari lokasi pusat. Seperti yang disarankan oleh orang lain, Anda dapat melihat apakah sudo berfungsi untuk Anda untuk akses tingkat root. Freeipa mendukung sudoers di LDAP, jadi Anda tidak harus memeliharanya di setiap server atau melalui boneka dll.

Freeipa mendukung klien Linux, Solaris dan Windows. Anda mungkin kehilangan fitur AD tertentu dan saya tidak yakin apa batasan lain yang dimiliki klien Windows.

Ini memiliki fitur replikasi, sehingga Anda dapat menghindari SPOF. Backend adalah LDAP, jadi Anda dapat menggunakan kembali banyak alat yang digunakan orang untuk LDAP, seperti skrip cadangan.

Ini mendukung kontrol akses berbasis host, sehingga Anda dapat mengatakan "pengguna X hanya dapat masuk ke server Y".

Ini juga menawarkan sinkronisasi AD . Saya bukan orang Windows, jadi saya tidak tahu apa artinya itu.


1

Jangan gunakan akun Administrator standar. Di sisi Windows, buat akun pengguna dan akun Admin untuk setiap pengguna yang membutuhkan akses Admin. Anda dapat menggunakan alat apa pun untuk menyinkronkan ke UNIX.

Jika seseorang pergi, maka Anda hanya perlu menghapus pengguna dan akun Admin mereka.

Untuk mengamankan akun Administrator standar, berikan kata sandi yang sangat panjang dan kompleks, lalu pastikan bahwa setiap orang hanya memiliki setengah. Jika mereka perlu menggunakan seluruh akun, maka mereka perlu mencari seseorang yang memiliki setengah lainnya.

Itu tentang seaman yang saya bisa pikirkan.

Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.