Pregunta Administración de credenciales de servidor para Linux y Windows


Somos una tienda relativamente pequeña (en cuanto a número de administradores de sistemas) con una combinación de servidores RHEL, Solaris, Windows 2003 y Windows 2008; alrededor de 200 servidores en total.

Para nuestras cuentas de administrador (root en Linux y admnistrator en Windows), tenemos un esquema de contraseña que depende de la ubicación del centro de datos y un par de otras propiedades documentadas del servidor.

En Linux, nuestra práctica actual es crear una cuenta compartida sin privilegios donde podamos su a root. En los sistemas basados ​​en Windows, creamos una cuenta adicional con privilegios de administrador. Ambas cuentas comparten la misma contraseña.

Esto ha demostrado ser muy ineficiente. Cuando alguien sale de nuestra tienda, tenemos que:

  1. Cambiar el esquema de contraseña para las cuentas de administrador
  2. Genere una nueva contraseña de administrador para cada servidor
  3. Cree una nueva contraseña de cuenta que no sea de administrador
  4. Toca todos los servidores y cambia las contraseñas.

Quería saber si alguien en un entorno similar puede sugerir una forma más sensata de administrar estas credenciales. Algunos datos relevantes:

  • Aunque la mayoría de nuestros servidores son parte de nuestro dominio AD, no todos lo son.
  • Administramos todos nuestros servidores Linux con Puppet (la autenticación clave fue una opción que pensé pero solo abordará la preocupación # 3 de arriba).
  • Aprovisionamos los servidores de Linux con Cobbler.
  • Alrededor del 10% de nuestro hardware está dedicado a VMWare. En esos casos, usamos plantillas de VMware para compilaciones de servidor.

Cualquier idea o sugerencia será muy apreciada. Este es un problema que se ha prolongado durante algún tiempo y finalmente quiero resolverlo.


12
2017-09-15 08:53


origen




Respuestas:


Algunas sugerencias que tendría son:

  • Los servidores conectados a Windows AD pueden tener sus contraseñas de administrador local configuradas a través de la política de grupo mediante el uso de Preferencias de la Política de Grupo (GPP) o una secuencia de comandos de inicio del equipo. Ver http://social.technet.microsoft.com/Forums/en-US/winserverGP/thread/b1e94909-bb0b-4e10-83a0-cd7812dfe073/

  • Limite la creación de cuentas locales en servidores Windows a menos que sea necesario. Utilice las cuentas de AD cuando sea posible.

  • Use LDAP para la computadora Linux para autenticar cuentas de administrador en AD. Esto simplifica un poco la gestión de cuentas. Y cuando un administrador se haya ido, simplemente deshabilite en un lugar y sin acceso, entonces puede limpiar el lado de Linux a su gusto.

  • Use el archivo / etc / sudoers para una cuenta de administrador específica en Linux, entonces los administradores no necesitan la contraseña de root. Esto puede ser bueno en su caso porque entonces rara vez necesitarán la contraseña de root para que pueda ser bloqueada. Actualizado

  • Mantenga las contraseñas de administrador raíz y local en una contraseña segura, no de conocimiento general. Algunas cajas fuertes de contraseña tienen delegación y registro, por lo que es posible que ni siquiera necesite restablecer una contraseña si la persona nunca tuvo acceso a ella.

  • Automatice el proceso de restablecimiento de contraseña para cuentas de administrador y de root. Tanto Linux como Windows pueden tener secuencias de comandos para hacer esto, por lo que puede ahorrarle algo de tiempo y no ser una carga tan pesada.

Espero que ayude.


10
2017-09-15 14:04



Mi problema con LDAP es el único punto de falla. Prefiero administrar cuentas a través de Puppet. Y agradecemos sus sugerencias. Gracias @Bernie! - Belmin Fernandez
@ Transmisión Si usa Active Directory, puede tener más de un controlador de dominio (sin punto único de falla) y luego apuntar al nombre de dominio DNS, por ejemplo. domain.com para obtener todos los controladores de dominio para una consulta LDAP. O puede configurar un registro DNS A para que apunte a DC específicos si solo quiere que dos o tres respondan a LDAP como ldap.domain.com. No he usado Puppet, pero la clave para una fácil administración de usuarios es no tener una única fuente donde sea posible. Sería probable que Puppet pudiera conectarse a un servidor de back-end LDAP de todos modos si así lo prefiera. - Bernie White
Acordado que AD es el camino a seguir aquí. Con 2+ controladores de dominio, la probabilidad de que AD se reduzca completamente es escasa, pero también, si lo hace, es probable que tenga problemas mucho más grandes. Mantenga las cuentas de root locales en sus servidores Linux para usarlas como último recurso si todo lo demás falla. - EEAA
@Bernie - con respecto a su tercer punto. Al usar sudo, nadie necesita saber la contraseña de root. Al especificar "NOPASSWD" en una entrada sudo, el usuario no necesita ingresar su propia contraseña. Esto no tiene nada que ver con la contraseña de root. - EEAA
@ErikA +1 Muy cierto. Se eliminó la referencia a NOPASSWD ya que no ayuda a responder la pregunta / - Bernie White


Puedes probar y ver si FreeIPA Funciona para ti.

Puede administrar el acceso de los usuarios a los hosts desde una ubicación central. Según lo sugerido por otros, puede ver si sudo funciona para usted para el acceso de nivel raíz. Freeipa admite sudoers en LDAP, por lo que no tiene que mantenerlos en cada servidor ni a través de títeres, etc.

Freeipa soporta clientes Linux, Solaris y Windows. Puede perder ciertas funciones de AD y no estoy seguro de qué otras limitaciones tendrá un cliente de Windows.

Tiene características de replicación, por lo que puede evitar un SPOF. El backend es LDAP, por lo que posiblemente puede reutilizar muchas herramientas que las personas usan para LDAP, como los scripts de copia de seguridad.

Admite el control de acceso basado en host, por lo que puede decir "el usuario X solo puede iniciar sesión en los servidores Y".

También ofrece Sincronización AD. No soy una persona de Windows, así que no tengo ni idea de lo que eso significa.


2
2017-09-21 04:09





No utilice la cuenta de administrador estándar. En el lado de Windows, cree una cuenta de usuario y una cuenta de administrador para cada usuario que necesite acceso de administrador. Puedes usar cualquier herramienta para sincronizar con UNIX.

Si alguien se va, solo necesita eliminar sus cuentas de usuario y de administrador.

Para asegurar la cuenta de administrador estándar, dele una contraseña realmente larga y compleja, luego asegúrese de que cualquier persona solo tenga la mitad. Si necesitan usar la cuenta completa, deben buscar a alguien que tenga la otra mitad.

Eso es lo más seguro que se me ocurre.


1
2017-09-23 19:45