Мы - относительно небольшой магазин (по количеству системных администраторов), в котором работают серверы RHEL, Solaris, Windows 2003 и Windows 2008; всего около 200 серверов.
Для наших учетных записей администратора (root в Linux и admnistrator в Windows) у нас есть схема паролей, которая зависит от местоположения центра обработки данных и пары других задокументированных свойств сервера.
В Linux наша текущая практика заключается в создании общей непривилегированной учетной записи, где мы могли бы su к root. В системах на базе Windows мы создаем дополнительную учетную запись с правами администратора. Обе эти учетные записи имеют один и тот же пароль.
Это оказалось очень неэффективным. Когда кто-то покидает наш магазин, мы должны:
Я хотел знать, может ли кто-нибудь в аналогичной среде предложить более разумный способ управления этими учетными данными. Некоторая важная информация:
Будем очень признательны за любые идеи или предложения. Это проблема, которая существует уже некоторое время, и я наконец хочу ее решить.
У меня есть несколько предложений:
На подключенных серверах Windows AD пароли локальных администраторов могут быть установлены с помощью групповой политики с помощью настроек групповой политики (GPP) или сценария запуска компьютера. Видеть http://social.technet.microsoft.com/Forums/en-US/winserverGP/thread/b1e94909-bb0b-4e10-83a0-cd7812dfe073/
Если не требуется, ограничьте создание локальных учетных записей на серверах Windows. По возможности используйте учетные записи AD.
Используйте LDAP для компьютера Linux для аутентификации учетных записей администратора в AD. Это несколько упрощает управление учетной записью. А когда администратор оставил просто отключение в одном месте и никакого доступа, тогда вы можете очистить часть Linux на досуге.
Используйте файл / etc / sudoers для конкретной учетной записи администратора в Linux, тогда администраторам не нужен пароль root. Это может быть хорошо для вашего экземпляра, потому что тогда им редко будет нужен пароль root, чтобы его можно было заблокировать. Обновлено
Храните пароли root и локального администратора в надежном пароле, а не общих знаниях. Некоторые сейфы с паролями имеют делегирование и ведение журнала, поэтому вам может даже не понадобиться сбрасывать пароль, если у человека никогда не было доступа к нему.
Автоматизируйте процесс сброса пароля для учетных записей root и admin. И для Linux, и для Windows можно создать скрипт для этого, чтобы сэкономить время и не обременить его.
Надеюсь, это поможет.
Вы можете попробовать и посмотреть, если FreeIPA работает для вас.
Вы можете управлять доступом пользователей к хостам из центра. Как предлагали другие, вы можете увидеть, работает ли sudo для доступа на корневом уровне. Freeipa поддерживает sudoers в LDAP, поэтому вам не нужно поддерживать его на каждом сервере или через марионетку и т. Д.
Freeipa поддерживает клиентов Linux, Solaris и Windows. Вы можете потерять определенные функции AD, и я не уверен, какие еще ограничения будут у клиента Windows.
Он имеет функции репликации, поэтому вы можете избежать SPOF. Серверная часть - это LDAP, поэтому вы можете повторно использовать многие инструменты, которые люди используют для LDAP, например сценарии резервного копирования.
Он поддерживает управление доступом на основе хоста, поэтому вы можете сказать «пользователь X может входить только на сервер Y».
Он также предлагает Синхронизация AD. Я не специалист по Windows, поэтому понятия не имею, что это вообще значит.
Не используйте стандартную учетную запись администратора. На стороне Windows создайте учетную запись пользователя и учетную запись администратора для каждого пользователя, которому требуется доступ администратора. Вы можете использовать любой инструмент для синхронизации с UNIX.
Если кто-то уходит, вам просто нужно удалить его учетные записи пользователей и администраторов.
Чтобы защитить стандартную учетную запись администратора, дайте ей действительно длинный и сложный пароль, а затем убедитесь, что у любого человека есть только половина. Если им нужно использовать всю учетную запись, им нужно найти того, у кого есть вторая половина.
Это настолько безопасно, насколько я могу себе представить.