LINUX.ORG.RU
ФорумAdmin

SSH.Контроль доступа

 , , ,


1

2

Добрый день,

есть примерно 100 серверов, нужно как-то контролировать доступ к ним по SSH, что я имею ввиду:

Создавать\удалять пользователей

Добавлять\удалять ключи

Сейчас частично делаю руками и bash-скриптами.

На ум пришло несколько вариантов:

1.Городить что-то с централизованным хранилищем в OpenLDAP

2.Использовать puppet,chef,etc

3.Писать свои скрипты

4.Что-то еще

Какой вариант будет наиболее правильный?

C точки зрения оверхэда и масштабируемости? Например, если в будущем понадобиться разделить эти хосты на несколько групп.

Лучше всё же радиус или напрямую лдап, они для этого и сделаны, а puppet/chef/ansible это уже скорее костыли.

blind_oracle ★★★★★ ()

Если пользователи одни и те же на всех серверах, то cfengine/puppet/chef

Если на разных серверах разные пользователи, то AD/LDAP

router ★★★★★ ()

Какой вариант будет наиболее правильный?

Кому как… Мой коллега сделал через LDAP. Я же через puppet, поскольку LDAP'ом у меня служит AD, кладу ключи пользователей в одну кучу, а в sshd_config:

AuthorizedKeysFile /etc/ssh/userkeys/%u

MumiyTroll ★★ ()

Самый простой способ

В простом случае(только ssh, только pubkey) проще всего заводить юзверей на одной из машинок, выдавать ключам сертификаты, и реплицировать passwd/group/KRL чем угодно на все компы.

DonkeyHot ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.