администрирование ssh-ключей для многих пользователей, серверов

Question 1

В моей компании есть несколько удаленных серверов Ubuntu. Доступ к этим серверам контролируется с помощью ключей ssh. Управлять этими ключами довольно сложно, особенно когда сотрудник покидает компанию или присоединяется к ней.

Есть ли хорошее решение для центрального управления ключами в Ubuntu?

Адам

Question 2

Среда

Среда Canonical делает очень легким управлять многими машинами сразу.

Вы могли просто иметь централизованную базу ключей и, по требованию, выставить изменения в known_hosts файле каждой машины.

Rsync

С другой стороны, если Вы не хотите использовать Среду, как насчет того, чтобы просто синхронизировать known_hosts через rsync? Я не все, что знакомый со всем этим enterprisy бизнесом, но это должно работать очень хорошо.

Принятие компьютеров компании закрывается каждую ночь, я сделал бы это:

Имейте на некотором сервере централизованный known_hosts файл, которым Вы управляете вручную.
запишите очень простую программу, которая, во время начальной загрузки, пытается выбрать тот файл и заменить текущий
на административной стороне протестируйте все измененные на основной файл перед выставлением его, который Вы делаете, просто заменив тот, к которому все клиенты пытаются получить доступ.

Вы могли использовать RCS, фаворита старого системного администратора, для управления различными версиями основного файла.

Обратите внимание, что многие системные администраторы скажут Вам, что централизация вещей является угрозой безопасности и обычно не прекрасной идеей.

LDAP

Теперь, я не системный администратор (и поэтому не доверяться по этому вопросу). Действительно необходимо задать этот вопрос на serverfault

LDAP, кажется, подходит там довольно много. Здесь немного информации о выборке Открытых ключей SSH от LDAP и здесь еще немного.

Этот вопрос мог бы также представлять интерес для Вас.

Я надеюсь, что это полезно. Поскольку Вы обнаружили себя, справление ssh доступ в больших установках действительно является вполне сложным.

Question 3

Question 4

Можно использовать центры сертификации и отзывать маркеры в файле «известные хосты». Другой вариант, вероятно, вместо этого использовать какой-либо «корпоративный» метод аутентификации PAM.

3 revs, 2 users 96% · Accepted Answer · 22 November 2010 в 11:51

Среда

Среда Canonical делает очень легким управлять многими машинами сразу.

Вы могли просто иметь централизованную базу ключей и, по требованию, выставить изменения в known_hosts файле каждой машины.

Rsync

С другой стороны, если Вы не хотите использовать Среду, как насчет того, чтобы просто синхронизировать known_hosts через rsync? Я не все, что знакомый со всем этим enterprisy бизнесом, но это должно работать очень хорошо.

Принятие компьютеров компании закрывается каждую ночь, я сделал бы это:

Имейте на некотором сервере централизованный known_hosts файл, которым Вы управляете вручную.
запишите очень простую программу, которая, во время начальной загрузки, пытается выбрать тот файл и заменить текущий
на административной стороне протестируйте все измененные на основной файл перед выставлением его, который Вы делаете, просто заменив тот, к которому все клиенты пытаются получить доступ.

Вы могли использовать RCS, фаворита старого системного администратора, для управления различными версиями основного файла.

Обратите внимание, что многие системные администраторы скажут Вам, что централизация вещей является угрозой безопасности и обычно не прекрасной идеей.

LDAP

Теперь, я не системный администратор (и поэтому не доверяться по этому вопросу). Действительно необходимо задать этот вопрос на serverfault

LDAP, кажется, подходит там довольно много. Здесь немного информации о выборке Открытых ключей SSH от LDAP и здесь еще немного.

Этот вопрос мог бы также представлять интерес для Вас.

Я надеюсь, что это полезно. Поскольку Вы обнаружили себя, справление ssh доступ в больших установках действительно является вполне сложным.

JanC · Answer 2 · 22 November 2010 в 11:51

Можно использовать центры сертификации и отзывать маркеры в файле «известные хосты». Другой вариант, вероятно, вместо этого использовать какой-либо «корпоративный» метод аутентификации PAM.

администрирование ssh-ключей для многих пользователей, серверов

2 ответа

Среда

Rsync

LDAP

Другие вопросы по тегам:

Похожие вопросы: