У нас есть команда из 20+ стажеров, которые присоединяются и покидают нас каждые 3-6 месяцев. У каждого из них есть индивидуальные настройки входа по SSH на 10-15 общих экземплярах AWS, некоторые из которых работают в течение многих лет, другие - в течение нескольких дней или недель. Каждый раз нам нужен администратор для создания экземпляра и авторизации пользователей и их ключей, а также для настройки их ролей. Когда они уходят, администратор вручную удаляет всех пользователей или в некоторых случаях блокирует только авторизованные ключи, чтобы предотвратить SSH.
Как лучше всего иметь возможность автоматизировать управление пользователями и SSH для запущенных экземпляров? Как мы можем проверить наши экземпляры, чтобы убедиться, что пользователь не обходит наши ограничения SSH?
Если у вас всегда есть люди, уходящие и присоединяющиеся, и вы немного заботитесь о безопасности, вы можете рассмотреть возможность многофакторной аутентификации вместе с Телепорт.
Концепция «кластера» в Teleport должна позволить пользователям автоматически подключаться к новым хостам в кластере без какого-либо вмешательства. Вы также можете указать продолжительность ключей SSH и легко создавать / удалять пользователей в кластерах.
Настройка Teleport может быть такой же сложной, как и использование Puppet / Chef, поэтому вы можете подготовить список своих требований и функций и определить их приоритеты перед внедрением.
Поддержка LDAP / AD - это платная функция Teleport.
FreeIPA, вероятно, будет тем, что вы ищете. http://freeipa.org/page/Main_Page
Он позволяет управлять хостами и пользователями, устанавливать даты истечения срока действия и т. Д., И все это через веб-интерфейс.