Controle de acesso a 100 da caixa LAMP via LDAP

5

Este é o pesadelo de todas as tarefas da SysAdmin. Basicamente, queremos controlar quem tem acesso a quais hosts. Por mais simples que pareça, o problema é encontrar uma solução escalonável e de baixa manutenção (overhead de gerenciamento). Nós usamos bcfg2 para o Config Mgmt muito parecido com o Cfengine & fantoche.

Algumas formas:

  1. Netgroups é muito escalável, mas vem com uma enorme sobrecarga de gerenciamento. Manter hosts, grupos de hosts, netgroups de usuários (separados dos grupos ldpa) parece ser um fardo muito grande, mas é factível.

  2. ldap.conf (vá para a postagem de jmozdzen em 1º de julho) e controle de acesso baseado em LDAp. Poderíamos modelar o ldap.conf para cada host e criar um grupo com nome de host e membros como usuários. Mas a desvantagem é que você não pode especificar o grupo ldap (equipe de usuários) para acesso, mas apenas individualmente.

  3. restrição sshd_config. Mas isso não funciona se os usuários fizerem login nativamente.

  4. Verificação do atributo do host. Ao descomentar o pam_check_host_attr no ldap.conf e adicionar o nome do host a cada usuário funciona bem, mas a automação não é fácil.

Alguém tem uma abordagem diferente para esse problema e isso se adapta bem e é automatizado?

    
por Prashanth Sundaram 13.07.2010 / 19:27

2 respostas

3

Eu uso algo semelhante à sua "Opção 2" - uma configuração LDAP (pam_ldap / nss_ldap) em que cada classe de servidor tem um grupo no LDAP (db, web, etc.) e os membros desse grupo são permitidos para efetuar login nessa classe de servidor. Essa é a mesma sobrecarga que os netgroups, mas funciona bem porque nossas listas de usuários são relativamente estáticas (você tem acesso a uma lista de máquinas e esse acesso é praticamente para sempre).

Não permitimos logins de console para usuários LDAP (somente as contas de serviço de emergência e raiz podem fazer login localmente e essas senhas são cuidadosamente protegidas), portanto, as restrições específicas do ldap só precisam ser aplicadas ao sshd em nosso caso.

    
por 13.07.2010 / 19:52
0

Outra abordagem interessante é sugerida no módulo nssov do OpenLDAP. Veja o README para detalhes.

    
por 18.07.2010 / 19:11