多くのユーザー、サーバーのsshキー管理
私の会社にはいくつかのリモートUbuntuサーバーがあります。これらのサーバーへのアクセスは、sshキーによって制御されます。これらのキーの管理は、特に従業員が退職したり会社に入社したりする場合、非常に苦痛です。
Ubuntuでキーを集中管理するための優れたソリューションはありますか?
アダム
Landscape
Canonical's Landscape を使用すると、一度に多数のマシンを非常に簡単に管理できます。
中央集中型のキーストアを用意し、必要に応じて、すべてのマシンのknown_hostsファイルに変更をプッシュできます。
Rsync
あるいは、Landscapeを使用したくない場合は、単純に rsyncを介したknown_hostsの同期 ?私はこのすべてのエンタープライズビジネスに精通しているわけではありませんが、非常にうまく機能するはずです。
会社のコンピューターが毎晩シャットダウンされると仮定すると、私はこれをします:
- 一部のサーバーには、手動で管理する集中化されたknown_hostsファイルがあります。
- 起動時に、そのファイルを取得して現在のファイルを置き換えようとする非常に単純なプログラムを作成します
- 管理側では、マスターファイルに変更されたすべてをテストしてからプッシュします。これは、すべてのクライアントがアクセスしようとするものを置き換えるだけです。
古いシステム管理者のお気に入りである RCS を使用して、マスターファイルのさまざまなバージョンを管理できます。
多くのシステム管理者が、物事の集中化はセキュリティリスクであり、一般的に素晴らしいアイデアではないことを教えてくれます。
LDAP
現在、私はシステム管理者ではありません(したがって、この問題に関して信頼されるべきではありません)。あなたは本当に serverfault でこの質問をする必要があります
LDAPは非常に多く登場しているようです。 LDAPからのSSH公開キー の取得についての少しの情報があり、 その他 です。
この質問 も興味があるかもしれません。
これがお役に立てば幸いです。あなた自身を発見したように、大規模なセットアップでのsshアクセスの管理は本当に非常に複雑です。
証明機関を使用して、「既知のホスト」ファイル内のマーカーを取り消すことができます。もう1つのオプションは、おそらく「エンタープライズ」PAM認証方法を代わりに使用することです。