Gerenciamento central de usuários com múltiplos servidores com chaves SSH, LDAP?

Question

Gerenciamento central de usuários com múltiplos servidores com chaves SSH, LDAP?

#1 resposta do (0 votos)
#2 resposta do (0 votos)

3

o número de meus servidores e usuários está crescendo e eu gostaria de adotar um banco de dados central para gerenciar contas de usuários. Estou pensando no OpenLDAP, mas tenho uma pergunta.

É possível no LDAP, de alguma forma, restringir usuários específicos a acessarem somente certos servidores? Por exemplo, eu tenho servidores A, B, C, D e E e usuários 1 a 20. Vamos dizer que os usuários 1-5 podem acessar os servidores B e D, os usuários 6-10 servidores A, B e E, usuários 11-20 para todos os servidores. Posso impor isso de alguma forma no LDAP ou em qualquer outro banco de dados central?

Existe uma solução melhor que o LDAP? Eu também gostaria de gerenciar centralmente Chaves SSH para meus usuários. Eu sei que existe um esquema para fazer isso no LDAP, mas existe uma alternativa alternativa melhor para esta situação?

Cumprimentos
Kamil

users ldap openldap linux

por Kamil 07.01.2018 / 17:20

2 respostas

Tags users ldap openldap linux

RTNETLINK responde: Arquivo existe no Ubuntu Server 16.04 Por que o Linux Mint é iniciado no nível de execução 5, embora o DEFAULT_RUNLEVEL esteja definido como 2?

score 0 · Answer 1

O LDAP certamente pode conter vários grupos unix para todos os seus vários usuários, embora a restrição de acesso seja mais tipicamente feita nos arquivos de configuração SSH (ou possivelmente PAM), então você também precisa de algo que possa gerenciar esses arquivos de configuração (ou Chaves SSH) em cada máquina individual. O software de gerenciamento de configuração faz isso e também pode substituir o uso do LDAP se o gerenciamento e o grupo de usuários forem feitos por meio disso. Você poderia tentar colocar tudo no LDAP, mas provavelmente haverá retornos decrescentes em quão eficiente é em relação a um gerenciamento de configuração / LDAP misto ou nenhuma configuração de gerenciamento de configuração LDAP.

Há pouco "melhor" aqui, apenas compensações entre empurrar a complexidade necessária para o LDAP e os benefícios / problemas disso (alguém certa vez apontou o Website para o LDAP corporativo que derreteu o LDAP corporativo e ninguém conseguiu entrar ou ver os wikis ou verifique painéis ... hilaridade!), ou em gerenciamento de configuração e benefícios / problemas, ou uma mistura de ambos ...

score 0 · Answer 2

Embora você pudesse, em teoria, usar qualquer banco de dados com integração NSS / PAM personalizada usando um servidor LDAP, é a solução certa, porque existem soluções prontas para uso.

Repito minha resposta para Como permitir que apenas usuários e / ou grupos acessem determinadas máquinas cliente conectadas a um servidor openldap? :

Æ-DIR

Esse é basicamente o caso de uso para o qual a minha própria solução foi criada, totalmente baseada em software livre:

Æ-DIR - Diretório de Entidades Autorizadas

Principalmente os sistemas / serviços são membros de grupos de serviços e você define quais grupos de usuários têm direito de login para o grupo de serviços.

É um pouco indireto implementado com as ACLs do OpenLDAP que concedem acesso de leitura a usuários e grupos e principalmente atributos de usuário necessários para o login. Para evitar um mal-entendido comum: você apenas manterá entradas LDAP para alterar os direitos de acesso; as ACLs do OpenLDAP são estáticas.

Para ser honesto, há uma coisa que você precisa configurar no cliente LDAP: Uma credencial do sistema, bind-DN e senha ou certificado de cliente TLS.

Levará algum tempo para entender os conceitos e modelar os dados para que correspondam aos seus requisitos de controle de acesso. E tenho certeza que não irá cumprir todos os seus desejos em relação ao controle de acesso.

PS: Gostaria de saber de pessoas com grandes configurações com controle de acesso ao host com base em netgroups porque gostaria de descobrir se seria possível criar uma ferramenta de migração automática para converter mapas netgroup em aeSrvGroup de Æ-DIR .

FreeIPA

O

FreeIPA tem metas semelhantes e implementam as chamadas políticas do HBAC e mais algumas para conseguir isso. Pelo que entendi, você teria que usar o sssd com o back-end do IPA para usar o conjunto completo de recursos. sssd é o ponto de aplicação da política.

Desculpe, não estou familiarizado o suficiente com seus documentos on-line e, portanto, não tenho bons links de documentação à disposição além dos documentos do FreeIPA visão geral .