Керування обліковими даними сервера для Linux та Windows

12

Ми відносно невеликий магазин (що стосується кількості систематичних систем) із поєднанням серверів RHEL, Solaris, Windows 2003 та Windows 2008; близько 200 серверів усього.

Для наших облікових записів адміністратора ( rootв Linux та admnistratorWindows) у нас є схема паролів, що залежить від місця розташування центру обробки даних та кількох інших документально підтверджених властивостей сервера.

В Linux наша сучасна практика - створити спільний непривілейований обліковий запис, куди ми могли suб root. У системах на базі Windows ми створюємо додатковий обліковий запис з правами адміністратора. Обидва ці облікові записи мають один і той же пароль.

Це виявилося дуже неефективно. Коли хтось залишає наш магазин, ми повинні:

  1. Змініть схему паролів для облікових записів адміністратора
  2. Створіть новий пароль адміністратора для кожного сервера
  3. Придумайте новий пароль облікового запису без адміністратора
  4. Торкніться кожного сервера та змініть паролі

Мені хотілося знати, чи може хтось у подібному середовищі запропонувати більш розумний спосіб управління цими обліковими даними. Деякі відповідні відомості:

  • Хоча більшість наших серверів є частиною нашого домену AD, не всі є.
  • Ми керуємо всіма нашими серверами Linux за допомогою Puppet (автентифікація ключів була варіантом, про який я думав, але це стосується лише проблеми №3 зверху).
  • Ми надаємо Linux сервери з Cobbler.
  • Близько 10% нашого обладнання присвячено VMWare. У цих випадках ми використовуємо шаблони VMWare для побудови сервера.

Будь-які ідеї чи пропозиції будуть дуже вдячні. Це проблема, яка довгий час затягується, і я нарешті хочу її вирішити.

linux  windows-server-2008  security  active-directory  puppet 
Белмін Фернандес
джерело

Відповіді:

10

Я хотів би запропонувати декілька пропозицій:

  • Сервери, підключені до Windows AD, можуть встановлювати локальні паролі адміністратора через групову політику, використовуючи налаштування групової політики (GPP) або сценарій запуску комп'ютера. Дивіться http://social.technet.microsoft.com/Forums/en-US/winserverGP/thread/b1e94909-bb0b-4e10-83a0-cd7812dfe073/

  • Обмежте створення локальних облікових записів на серверах Windows, якщо цього не потрібно. Використовуйте облікові записи AD, коли це можливо.

  • Використовуйте LDAP для комп’ютера Linux для автентифікації облікових записів адміністратора в AD. Це дещо спрощує управління обліковим записом. А коли адміністратор залишився просто відключити в одному місці і не мати доступу, тоді ви можете почистити сторону Linux у своє дозвілля.

  • Використовуйте / etc / sudoers файл для конкретного облікового запису адміністратора в Linux, тоді адміністраторам не потрібен пароль root. Це може бути добре у вашому випадку, оскільки тоді вони рідко потребуватимуть пароля root, щоб його можна було заблокувати. Оновлено

  • Зберігайте кореневі та локальні паролі адміністратора в безпеці пароля, а не загальних знань. Деякі сейфи паролів мають делегування та реєстрацію даних, тому вам навіть не потрібно буде скидати пароль, якщо особа ніколи не мала до нього доступу.

  • Автоматизація процесу скидання пароля для кореневих та адміністраторських облікових записів. І Linux, і Windows можуть бути скриптовані для цього, щоб це заощадило час і не призвело до значного навантаження.

Сподіваюся, що це допомагає.

Берні Вайт
джерело
Моя проблема з LDAP - це одна з проблем. Я б краще керував обліковими записами через лялечку. І цінуємо ваші пропозиції. Дякую @Bernie!
Белмін Фернандес
1
@Beaming Якщо ви використовуєте Active Directory, у вас може бути більше одного контролера домену (жодної точки відмови), а потім вказати на ім'я домену DNS, наприклад domain.com, щоб отримати всі контролери домену для запиту LDAP. Або ви можете встановити запис DNS, щоб вказати на певні постійні токи, якщо ви хочете, щоб відповідати на LDAP лише двома або трьома, як ldap.domain.com. Я ще не використовував Лялечку, але ключовим для легкого адміністрування користувачів є не єдине джерело, де це можливо. Цілком імовірно, що Лялька могла б підключитися до бек-сервера LDAP-сервера в будь-якому випадку, якби ви віддали перевагу саме цьому.
Берні Уайт
Домовились, що AD - це шлях до цього. З контролерами домену 2+ ймовірність того, що AD повністю знизиться, невелика, але, якщо це станеться, у вас, ймовірно, будуть набагато більші проблеми. Підтримуйте локальні кореневі акаунти на своїх Linux-серверах, щоб вони використовувались як крайнє рішення, якщо все інше не вдалося.
EEAA
2
@ Берні - щодо твого 3-го пункту. Під час використання sudo нікому ніколи не потрібно знати кореневий пароль. Вказуючи "NOPASSWD" у записі sudo, користувачеві не потрібно вводити власний пароль. Це не має нічого спільного з кореневим паролем.
EEAA
@ErikA +1 Дуже вірно. Видалено посилання на NOPASSWD, оскільки це не допомагає відповісти на питання /
Берні Уайт,
2

Ви можете спробувати і перевірити, чи працює FreeIPA для вас.

Ви можете керувати доступом користувачів до хостів із центрального місця. Як запропонували інші, ви можете побачити, чи працює для вас sudo для доступу до кореневого рівня. Freeipa підтримує sudoers в LDAP, тому вам не доведеться підтримувати його на кожному сервері або через маріонетку тощо.

Freeipa підтримує клієнтів Linux, Solaris та Windows. Ви можете втратити певні функції AD, і я не впевнений, які ще обмеження матиме клієнт Windows.

Він має функції реплікації, тому ви можете уникнути SPOF. Програмою є LDAP, тому ви, можливо, можете повторно використовувати багато інструментів, які користуються людьми для LDAP, наприклад, резервні скрипти.

Він підтримує хост-контроль доступу, тому ви можете сказати, що "користувач X може входити лише на сервери Y".

Він також пропонує синхронізацію AD . Я не людина Windows, тому я поняття не маю, що це навіть означає.

Не зараз
джерело
1

Не використовуйте стандартний обліковий запис адміністратора. З боку речей Windows створіть обліковий запис користувача та обліковий запис адміністратора для кожного користувача, якому потрібен доступ адміністратора. Ви можете використовувати будь-який інструмент для синхронізації з UNIX.

Якщо хтось виїжджає, то вам просто потрібно видалити їхні облікові записи користувачів та адміністраторів.

Щоб захистити стандартний обліковий запис адміністратора, надайте йому дійсно довгий і складний пароль, а потім переконайтеся, що будь-яка людина має лише половину. Якщо їм потрібно використовувати весь обліковий запис, то їм потрібно шукати когось, хто має другу половину.

Це приблизно так безпечно, як я можу придумати.

гнусність
джерело
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.