1

Я изучаю возможные решения для доступа к серверу нашей компании. Компания распространяет Linux-серверы, некоторые из них в конечном итоге получают публичные IP-адреса, другие изолированы в частных сетях. Проблема заключается в контроле нашего доступа SSH к этим серверам. (Клиент не имеет доступа)

Инженеры нашей компании нуждаются в доступе к этим серверам для технического обслуживания и т.д. Однако, если и когда инженер покидает компанию, нам нужен способ не дать им получить доступ к этим серверам.

Стандартные пары ключей на самом деле не подходят, потому что мы не можем обходить тысячи частных сетевых серверов, удаляя и добавляя пары ключей каждый раз, когда инженер уходит или нанимается. Аналогично с паролями. Ограничение доступа по IP нереально, так как доступ к серверу должен осуществляться из разных источников в зависимости от сетевых политик клиента.

Это заставило меня задуматься о некоторой форме динамической аутентификации SSH, такой как использование HMAC в приложениях REST. По сути, инженер обращается к центральному серверу, который генерирует набор учетных данных, которые действительны в течение некоторого произвольного числа секунд для конкретного сервера на основе подписи. Таким образом, когда инженеры покидают компанию, мы можем просто отозвать их доступ к центральному серверу генерации подписи.

Кто-нибудь может увидеть проблему с этим подходом? Что-то подобное уже существует или мне придется написать это?

1 ответ1

1

Поздравляем, вы только что изобрели Kerberos :) Kerberos работает с системой заявок, в которой клиент запрашивает билет на выдачу билетов (TGT) из Центра распространения ключей Kerberos, используя имя пользователя и пароль. Затем клиент может использовать этот билет для запроса дополнительных билетов обслуживания, которые можно использовать для входа на серверы SSH.

Все администрирование осуществляется централизованно на Kerberos KDC, и в сочетании с LDAP вы можете контролировать, какой человек может получить доступ к каким серверам.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .