組織が複数のパスワードを安全に保存し、複数の管理者がそれらにアクセスできるようにするベストプラクティスと潜在的なオープンソースプロジェクトに興味があります。一般的なパスワードで保護されたExcelスプレッドシートではなく、各管理者が独自のログイン/キーを持つことができるようなものに興味があります。 ;)
SSLで実行できるWebベースのアプリケーションが望ましいです。
Mac/Linux環境で実行するために必要です。Windowsアプリは必要ありません。
ありがとう!
私たちはこれを使用します: http://sourceforge.net/projects/phppassmanager/ (少し変更/調整)
パスワードの取得をチームに制限するために、Active Directory認証を備えたHTTPS Webサーバーにインストールされます。チームの各メンバーは、phppassmanagerに保存されているすべてのパスワードを暗号化するために使用されるマスターパスワードを知っています。彼らはパスワードを追加/変更/読みたいときにそれを使います。パスワードは暗号化されてmysqlデータベースに保存されます。
彼らは潜在的にすべてのパスワードにアクセスできますが、各パスワードの復号化はログに記録され、ログはメインページでチーム全体に表示されます。このシステムは自己監視および自己管理されています。
私は KeePass を使用しており、とても満足しています。オープンソースで使いやすいパスワードマネージャーです。
私はまったく同じものを探しています。あなたのニーズに合うかもしれない2を見つけました。
Web-KeePass -これは必要なことを行うようですが、私はまだすべてのオプションを理解しようとしています。
corporatevault -これは非常に基本的で、初期の段階です。インターフェイスはまだ完成していませんが、簡単に理解できました。
sysPass が良い選択だと思います。それは提供しています:
Thycotic Secret Server。
私の会社ではこれを長年使用しています。パスワードの自動変更、特定のパスワードにアクセスしたときに送信されるメールなど、多くの優れた機能を備えています。
また、定期的な更新を提供し、機能を追加します。
このシステムで正確に何を保護していますか?あなたが制御するシステム、またはサードパーティが実行するシステム?
内部認証の場合、Kerberos、LDAPなどのシステム、またはSudoとPKIだけでもこれを処理できます。
外部認証については、ソフトウェアサポートWebサイトに言ってみれば、彼らが実装するシステムにだいぶ悩まされています。 KeePass(2.0はモノで動作)やPasswordGorillaなどのツールでパスワードを保存できます。どちらも、複数の個別の復号化パスワードの概念をサポートしていないと思います。それが数学的にどのように機能するかはわかりません。
私はセキュリティを非常に重視する会社で働いていました。5人のチームでは KeePass を使用しました。これは、暗号化が強力であるため、クロスプラットフォームであり、複数のデータベースを自分のデータベースにインポートすることをサポートしています。鍵認証が必要なSSHログインを介して内部ネットワークからのみアクセス可能なシステムに保存しました(パスワードは不要です。ありがとうございます!)。
これまで読んだことについては、データベースバックエンドを備えたWikiシステム(ファイルストアバックエンドを備えたものでも、dbをお勧めします)で問題を解決できるはずです。ユーザーアカウントに適切な制限を設定すると、信頼できる人(管理者)だけがパスワードリストを(プレーンHTMLドキュメントで)読み取り/変更できるようになります:))。
SSL対応サーバーの背後に置き、データベースへのアクセスを制限します。
PowerBroker は、共有アカウントへのアクセスを制御/監査するために特別に設計されたベンダー製品です。ただし、ホストごとのライセンスコストがかなりかかります。
私たちは keypass を使用しています。これは非常に優れたソフトウェアであり、カテゴリ別にパスワードを整理できます。ただし、さまざまなレベルのユーザーがログオンできるかどうかはわかりません。
私はそれがあなたが必要とするものであるかどうか正確にはわかりませんが、これは私たちにとってはうまくいきます:私たちは私たち全員が共有する共通鍵で暗号化されたすべての資格情報を含むgpg暗号化テキストファイルをSVNに保持します。 keepassxまたは同様のツールの代わりにこのアプローチを使用する主な利点は、1)自由形式の情報をそこに配置できること、2)gpg --decryptをパイプに送信して端末で使用できることです。
確かに、これは10人以下のグループでのみ機能しますが、少しの委任があれば少し拡大できます。また、実際には、アクセスレベルが異なる2つのキーと2つの暗号化ファイルがありますが、これは大きな変更にはなりません。
ああ、そして私たちは(主に個人のSSHキーを使って)パスワードをできるだけ処理しないようにする傾向があります。