Ich habe gerade mein Praktikum in einer Regierungsorganisation begonnen und meine erste Aufgabe ist die Entwicklung eines Benutzersystems für unsere interne Serverfarm mit über 120 Redhat- und Windows-Servern. Die interne Serverfarm wird mit Puppet verwaltet. Derzeit meldet sich jeder mit demselben Root-/Administratorkonto an, was aus verschiedenen Gründen selbsterklärend sein sollte, warum das ein großes Problem darstellt. Ich habe keine genauen Zahlen, aber wir sprechen von mindestens 30 Personen, die dasselbe Konto verwenden – und für viele ihrer Arbeiten sind diese Zugriffsrechte/Berechtigungen nicht erforderlich. Ich habe zwei Lösungen für das Problem vorgeschlagen und würde mich sehr über Feedback von Ihnen dazu freuen.
1) Authentifizierung über AD gegenüber der Serverfarm
Die Idee ist, einen Authentifizierungsserver (vorzugsweise zwei aus Redundanzgründen) einzurichten, der über SSSD/FreeIPA mit dem Regierungs-AD verbunden ist. Wenn Benutzer authentifiziert sind, erhalten sie Zugriff auf die Serverfarm, wo Puppet zur Verwaltung ihrer Berechtigungen verwendet wird. Die Verwaltung von Berechtigungen über das AD ist keine Option, da diese Organisation von einer höheren Instanz verwaltet wird, die das AD steuert. Mein Manager und ich bevorzugen diese Lösung, da wir die Konten von der anderen Verwaltung verwalten lassen können und so nicht zwei separate Systeme haben. Wenn eine Regierungsorganisation ein separates Benutzersystem neben dem Haupt-AD hat, müssen monatlich Berichte über die Benutzeraktivität bereitgestellt werden. Meine Abteilung ist sehr beschäftigt, daher möchten wir eine solche Aufgabe vermeiden.
2) Lokale Verwaltung der Benutzerrechte
Die andere Lösung besteht darin, den Authentifizierungsserver abzuschaffen und das Benutzersystem und seine Berechtigungen einfach über Puppet zu verwalten. Auf diese Weise haben wir die volle Kontrolle und müssen uns nicht auf die Verwaltung verlassen. Der Nachteil dabei ist, dass wir ein separates Benutzersystem hätten, das verwaltet werden muss. Dies kann natürlich ein Sicherheitsrisiko darstellen, wenn alte Mitarbeiter/Berater nicht im System gelöscht werden, aber am wichtigsten ist – wir haben keine Zeit für eine weitere zeitaufwändige Aufgabe.
Nachdem ich Artikel und andere Beiträge zu diesem Thema gelesen habe, bin ich zu dem Schluss gekommen, dass SSSD/FreeIPA wahrscheinlich die beste Lösung ist, aber ich bin mir nicht sicher. Also, was denkt ihr? Welche der vorgeschlagenen Lösungen sind die besten und/oder gibt es eine dritte und bessere Lösung für das Problem?
Dank im Voraus!
Antwort1
Antwort von jemandem, der in einem Labor der US-Regierung arbeitet. Verbinden Sie Ihre Systeme mit der AD-Domäne. realmDie Tools funktionieren gut mit Red Hat 7. Konfigurieren Sie sssd für die Benutzerauthentifizierung. Verwenden Sie Puppet, um /etc/security/access.conf zu verwalten und den Benutzerzugriff zu steuern, und Puppet steuert auch /etc/sudoers und /etc/sudoers.d. Verwenden Sie im Wesentlichen Ihre Option 1. Stellen Sie Syslog außerdem so ein, dass alle Sicherheitsprotokolle an einen zentralen Protokollserver mit eingeschränktem Zugriff gesendet werden. Sie haben jetzt Konten, die vom Haupt-AD gesteuert werden, also haben Sie eine Sorge weniger. Alle Anmeldungen und Sudo-Anfragen werden auf dem zentralen Syslog-Server protokolliert, sodass Sie einen Ort haben, von dem Sie Nutzungsberichte abrufen können. Ich würde auch das Root-Konto sperren, sodass sich niemand über SSH anmelden kann, sodass Sie die Leute zwingen, su oder sudo zu verwenden. Lassen Sie den Manager su als Routineoption abraten.
Viel Glück bei deinem Praktikum. Das ist ein tolles Projekt, das du umsetzen kannst.