我剛開始在政府機構實習,我的第一個任務是為我們由 120 多台 Redhat 和 Windows 伺服器組成的內部伺服器群組進行使用者係統開發。內部伺服器集區由 Puppet 管理。現在,每個人都使用相同的 root/admin 帳戶登錄,這應該不言自明為什麼由於各種原因這是一個巨大的問題。我沒有確切的數字,但我們談論的是至少 30 人使用同一個帳戶 - 而且他們的許多工作不需要這種級別的存取/權限。我針對這個問題提出了兩種解決方案,我非常感謝你們的一些回饋。
1)透過AD向serverfarm進行驗證
這個想法是建立一個身份驗證伺服器(最好是兩個用於冗餘),使用SSSD/FreeIPA 連接到政府AD,如果用戶通過身份驗證,他們將被授予訪問伺服器集的權限,其中Puppet 用於管理他們的權限。透過 AD 管理權限不是一種選擇,因為該組織由控制 AD 的更高實例管理。我和我的經理更喜歡這個解決方案,因為我們可以讓其他管理部門管理帳戶,因此不需要兩個單獨的系統。如果政府組織除了主 AD 之外還有單獨的使用者係統,那麼就需要提供有關使用者活動的月度報告,並且我的部門真的很忙,所以我們希望避免這樣的任務。
2) 使用者權限的本機管理
另一種解決方案是廢棄身份驗證伺服器,僅透過 Puppet 管理使用者係統及其權限。這樣我們就可以完全控制,不必依賴政府。這樣做的缺點是我們將有一個單獨的使用者係統,必須對其進行管理。如果舊員工/顧問沒有在系統中刪除,這當然會構成安全威脅,但最重要的是 - 我們沒有時間執行其他耗時的任務。
在閱讀了有關此主題的文章和其他帖子後,我了解到 SSSD/FreeIPA 可能是可行的方法,但我不確定。那麼,你們覺得怎麼樣呢?所提出的解決方案中哪一個是最好的,和/或是否有第三種更好的解決方案來解決該問題?
先致謝!
答案1
美國政府實驗室工作人員的回答。將您的系統加入 AD 網域。realm工具與 Red Hat 7 配合良好。使用 puppet 管理 /etc/security/access.conf 來控制使用者訪問,puppet 也控制 /etc/sudoers 和 /etc/sudoers.d。本質上,使用您的選項 1 此外,設定 syslog 將所有安全日誌傳送到存取權限有限的中央日誌伺服器。現在您的帳號已由主 AD 控制,這樣就少了一件麻煩事。所有登入和 sudo 請求都會記錄到中央系統日誌伺服器,因此您可以從一個地方取得使用報告。我也會鎖定 root 帳戶,使其無法透過 ssh 登錄,這樣就可以強制人們使用 su 或 sudo。讓經理阻止 su 作為常規選項。
祝你實習順利。這是一個需要實施的偉大計畫。