Autenticação com SSSD

Navegue suas respostas
1

Atualmente estou trabalhando em um projeto no meu estágio em uma organização, e honestamente é um pouco desafiador, então espero que vocês possam me ajudar.

Histórico:

A organização na qual estou trabalhando tem um ambiente de produção de mais de 120 servidores, principalmente Redhat e algumas máquinas Windows, gerenciadas com o Puppet. As máquinas Windows são basicamente apenas balanceadores de carga, portanto estão fora do escopo deste projeto. Como está agora, todos fazem login com a conta root, que deve ser autoexplicativa porque é um problema enorme por vários motivos.

Assim, o objetivo do meu projeto é configurar um sistema de autenticação e registro que use as contas de usuário existentes do Active Directory para conceder aos usuários acesso ao ambiente de produção. Eu escolhi fazer isso com o realmd / sssd. Meu plano é configurar dois servidores para lidar com autenticação e logs, e deixar o restante dos servidores autenticar contra eles, e enviar logs para eles.

Pergunta 1:

Como já mencionado, eu quero configurar dois servidores para lidar com autenticação, e minha pergunta é; Como faço para configurar o resto dos servidores para autenticar contra eles? Por exemplo; Se alguém SSH em uma máquina, essa máquina deve contatar os servidores de autenticação para autenticação, e se eles não tiverem as credenciais armazenadas no cache, os servidores de autenticação devem autenticar no Active Directory.

Pergunta 2:

Quais são as melhores práticas e software para monitorar logs? Eu quero registrar tentativas de login, logins bem-sucedidos e os comandos que os usuários estão executando.

Pergunta 3:

Eu quero gerenciar o que os usuários podem fazer no ambiente, quais comandos eles podem executar e os recursos que eles podem acessar. Quais são as melhores práticas para isso?

Eu sei que é um monte de perguntas, e espero ter me explicado claramente, inglês não é meu idioma principal. Estou trabalhando completamente sozinha nisso, e meus gerentes / colegas de trabalho não são realmente de nenhuma ajuda. Eu me sinto um pouco perdido neste momento, então eu realmente aprecio qualquer entrada.

    
por Frisbee57 18.09.2018 / 16:40

1 resposta

0

Eu prefiro sugerir a configuração de auditorias, batidas e sssd em todas as suas caixas do que criar uma configuração de entrada dedicada. Não há necessidade de introduzir uma dependência nessas caixas para o seu processo de administração.

Q1: Deixe suas caixas consultar o AD para usuários e autenticar diretamente no AD com o sssd.

Q2: Configure a auditoria em todas as suas caixas para o usuário de auditoria logins e comandos executados , e configurar servidores para ELK ou Graylog ou use Splunk para agregar seus registros. Use as batidas do Elastic para enviar todos os tipos de registros para o seu agregador de registros favorito.

Q3: A restrição de autenticação pode ser feita de várias maneiras, estou usando associações de grupo LDAP. Para restringir o acesso a recursos, use o SELinux e o sudo.

Observação: dependendo de como o protocolo precisa estar ciente do balanceamento de carga, talvez seja melhor usar HAProxy - talvez queira dê uma olhada nisso.

Nota lateral (2), dos comentários: Se a carga no AD for uma preocupação, replique (AD-wise ou com LSC ) e faça o balanceamento de carga - o HAProxy também pode ajudar aqui .

    
por 19.09.2018 / 12:52

Tags

Vários roteadores IPv6 na mesma rede Parar o núcleo do servidor 2016 solicitando a instalação do Silverlight?