저는 방금 정부 기관에서 인턴십을 시작했으며 첫 번째 임무는 120개 이상의 Redhat 및 Windows 서버로 구성된 내부 서버팜의 사용자 시스템을 개발하는 것입니다. 내부 서버팜은 Puppet으로 관리됩니다. 지금은 모든 사람이 동일한 루트/관리자 계정으로 로그인하는데, 이것이 여러 가지 이유로 큰 문제가 되는 이유를 자명하게 설명할 것입니다. 정확한 숫자는 알 수 없지만 동일한 계정을 사용하는 사람이 최소 30명에 대해 이야기하고 있으며 이들의 작업 중 상당수에는 해당 수준의 액세스/권한이 필요하지 않습니다. 저는 이 문제에 대해 두 가지 해결책을 제안했습니다. 이에 대한 여러분의 피드백에 진심으로 감사드립니다.
1) AD를 통해 서버팜에 인증
아이디어는 SSSD/FreeIPA를 사용하여 정부 AD에 연결된 인증 서버(중복성을 위해 2개 선호)를 설정하고, 사용자가 인증되면 Puppet을 사용하여 권한을 관리하는 서버팜에 대한 액세스 권한을 부여받는 것입니다. . AD를 통해 권한을 관리하는 것은 옵션이 아닙니다. 왜냐하면 이 조직은 AD를 제어하는 상위 인스턴스에 의해 관리되기 때문입니다. 나와 내 관리자는 이 솔루션을 선호합니다. 왜냐하면 다른 관리자가 계정을 관리하도록 할 수 있고 두 개의 별도 시스템이 없기 때문입니다. 정부기관에서 메인 AD와 별도의 사용자 시스템을 갖고 있는 경우, 사용자 활동에 대한 월별 보고서를 제공해야 하는 요구사항이 있는데, 저희 부서는 너무 바빠서 그런 작업은 피하고 싶습니다.
2) 사용자 권한의 로컬 관리
다른 해결책은 인증 서버를 폐기하고 Puppet을 통해 사용자 시스템과 권한을 관리하는 것입니다. 그렇게 하면 우리가 완전히 통제할 수 있고 행정부에 의존할 필요가 없습니다. 이에 대한 단점은 관리해야 하는 별도의 사용자 시스템이 있다는 것입니다. 물론 오래된 직원/컨설턴트가 시스템에서 삭제되지 않으면 보안 위협이 될 수 있지만 가장 중요한 것은 시간이 많이 걸리는 다른 작업을 수행할 시간이 없다는 것입니다.
이 주제에 관한 기사와 기타 게시물을 읽은 후 SSSD/FreeIPA가 아마도 좋은 방법이라는 것을 이해했지만 확실하지는 않습니다. 그럼, 여러분은 어떻게 생각하시나요? 제안된 솔루션 중 가장 좋은 솔루션은 무엇입니까? 그리고/또는 문제에 대한 세 번째이자 더 나은 솔루션이 있습니까?
미리 감사드립니다!
답변1
미국 정부 연구소에서 일하는 누군가의 답변입니다. 시스템을 AD 도메인에 가입시키십시오. realm도구는 Red Hat 7에서 잘 작동합니다. 사용자 인증을 위해 sssd를 구성합니다. puppet을 사용하여 /etc/security/access.conf를 관리하여 사용자 액세스를 제어하고 puppet은 /etc/sudoers 및 /etc/sudoers.d도 제어합니다. 기본적으로 옵션 1을 사용하십시오. 또한 액세스가 제한된 중앙 로그 서버에 모든 보안 로그를 보내도록 syslog를 설정하십시오. 이제 메인 AD에 의해 제어되는 계정이 있으므로 골치 아픈 일이 하나 줄어듭니다. 모든 로그인 및 sudo 요청은 중앙 syslog 서버에 기록되므로 한 곳에서 사용 보고서를 가져올 수 있습니다. 또한 ssh를 통해 로그인할 수 없도록 루트 계정을 잠가서 사람들이 su 또는 sudo를 사용하도록 강제합니다. 관리자가 su를 일상적인 옵션으로 삼도록 하십시오.
인턴쉽에 행운이 있기를 바랍니다. 이것은 구현하기에 좋은 프로젝트입니다.