Uwierzytelnianie SSH na podstawie algorytmu


1

Badam możliwe rozwiązania w zakresie dostępu do serwerów naszej firmy. Firma dystrybuuje serwery linux, niektóre z nich mają dostęp do publicznego adresu IP, inne są izolowane w sieciach prywatnych. Problemem jest kontrolowanie naszego dostępu SSH do tych serwerów. (Klient nie ma dostępu)

Inżynierowie z naszej firmy potrzebują dostępu do tych serwerów w celu konserwacji itp. Jednak jeśli inżynier opuści firmę, potrzebujemy sposobu, aby uniemożliwić mu dostęp do tych serwerów.

Standardowe pary kluczy nie są tak naprawdę opcją, ponieważ nie możemy obejść tysięcy prywatnych serwerów w sieci, usuwając i dodając pary kluczy za każdym razem, gdy inżynier opuszcza lub zostaje zatrudniony. Podobnie z hasłami. Ograniczanie dostępu przez IP nie jest realistyczną opcją, ponieważ serwery muszą być dostępne z różnych źródeł, w zależności od zasad sieciowych klientów.

To sprawiło, że pomyślałem o jakiejś formie dynamicznego uwierzytelniania SSH, takiej jak używanie HMAC w aplikacjach REST. Zasadniczo inżynier uzyskuje dostęp do centralnego serwera, który generuje zestaw poświadczeń, które są ważne przez określoną liczbę sekund dla określonego serwera opartego na sygnaturze. W ten sposób, gdy inżynier opuszcza firmę, możemy po prostu cofnąć jego dostęp do centralnego serwera generującego podpisy.

Czy ktoś może zobaczyć problem z tym podejściem? Czy coś takiego już istnieje, czy będę musiał to napisać?

Odpowiedzi:


1

Gratulacje, właśnie wymyśliłeś Kerberos :) Kerberos współpracuje z systemem biletowym, w którym klient żąda biletu przyznającego bilet (TGT) z Centrum dystrybucji kluczy Kerberos przy użyciu nazwy użytkownika i hasła. Klient może następnie użyć tego biletu, aby zażądać dodatkowych biletów usługi, których można użyć do zalogowania się na serwerach SSH.

Cała administracja odbywa się centralnie na Kerberos KDC iw połączeniu z LDAP możesz kontrolować, która osoba ma dostęp do których serwerów.


1
Uwielbiam, kiedy wymyślam coś nowego! ;)
tarka
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.