Acabei de começar meu estágio em uma organização governamental e minha primeira tarefa é desenvolver um sistema de usuário para nosso serverfarm interno de mais de 120 servidores Redhat e Windows. O serverfarm interno é gerenciado com Puppet. Como está agora, todos fazem login com a mesma conta root/admin, o que deve ser autoexplicativo porque isso é um grande problema por vários motivos. Não tenho os números exatos, mas estamos falando de pelo menos 30 pessoas usando a mesma conta - e muito do trabalho delas não exige esse nível de acesso/privilégios. Propus duas soluções para o problema e gostaria muito de receber feedback de vocês.
1) Autenticação via AD para o serverfarm
A ideia é configurar um servidor de autenticação (de preferência dois para redundância), que esteja conectado ao AD governamental usando SSSD/FreeIPA, e se os usuários forem autenticados, eles terão acesso ao serverfarm, onde o Puppet é usado para gerenciar seus privilégios . Gerenciar privilégios através do AD não é uma opção, porque esta organização é gerenciada por uma instância superior que controla o AD. Meu gerente e eu preferimos esta solução, porque podemos deixar que a outra administração gerencie as contas e, portanto, não temos dois sistemas separados. É necessário fornecer relatórios mensais sobre a atividade do usuário se uma organização governamental tiver um sistema de usuário separado do AD principal e meu departamento estiver muito ocupado, por isso gostaríamos de evitar uma tarefa como essa.
2) Administração local dos privilégios dos usuários
A outra solução é descartar o servidor de autenticação e apenas gerenciar o sistema do usuário e seus privilégios através do Puppet. Dessa forma temos total controle e não precisamos depender da administração. A desvantagem disso é que teríamos um sistema de usuário separado, que precisa ser gerenciado. É claro que isso pode representar uma ameaça à segurança se funcionários/consultores antigos não forem excluídos do sistema, mas o mais importante é que não temos tempo para outra tarefa demorada.
Depois de ler artigos e outras postagens sobre esse assunto, entendi que SSSD/FreeIPA é provavelmente o caminho a seguir, mas não tenho certeza. Então, o que vocês acham? Quais das soluções propostas são melhores e/ou existe uma terceira e melhor solução para o problema?
Desde já, obrigado!
Responder1
Resposta de alguém que trabalha em um laboratório do governo dos EUA. Junte seus sistemas ao domínio AD. realmas ferramentas funcionam bem com o Red Hat 7. Configure o sssd para autenticação do usuário. Use o puppet para gerenciar /etc/security/access.conf para controlar o acesso do usuário e o puppet também controla /etc/sudoers e /etc/sudoers.d. Essencialmente, use a opção 1. Além disso, configure o syslog para enviar todos os logs de segurança para um servidor de log central com acesso limitado. Agora você tem contas controladas pelo AD principal, o que é uma dor de cabeça a menos. Todos os logins e solicitações sudo são registrados no servidor syslog central para que você tenha um lugar para obter relatórios de uso. Eu também bloquearia a conta root para que ela não pudesse ser conectada através do ssh, para forçar as pessoas a usar su ou sudo. Peça ao gerente que desencoraje o su como uma opção de rotina.
Boa sorte com seu estágio. Este é um ótimo projeto para implementar.