कुछ लोगों के बीच सैकड़ों पासवर्ड साझा करने के लिए सर्वोत्तम अभ्यास क्या हैं?
आसान, यह दो स्वादों में आता है:
आप सादा और सरल नहीं हैं। यदि आप ऐसा करने के लिए चुनते हैं, तो आप पासवर्ड प्रमाणीकरण को किसी बाहरी विश्वसनीय प्राधिकारी को सुरक्षित कर देते हैं और वहां से प्रमाणीकरण को नियंत्रित करते हैं।
आप करते हैं, लेकिन ऐसा करने में, आपके पास बाहरी एक्सेस कंट्रोल हैं जिनके पास पासवर्ड या सुरक्षा टोकन हैं जो आपके द्वारा उपयोग किए जाने वाले सिस्टम के अंदर रिकॉर्ड नहीं किए जाते हैं (अर्थात पासवर्ड का रिकॉर्ड किसी अन्य पासवर्ड द्वारा सुरक्षित है जिसकी सीमित उपलब्धता है)। इसके साथ कई समस्याएं हैं।
ये पासवर्ड मिशन महत्वपूर्ण डेटा की रक्षा करते हैं, और कभी भी एक छोटी टीम से परे दिखाई नहीं दे सकते हैं।
आपको एक सुरक्षित प्रमाणीकरण सेवा पर गंभीरता से विचार करना चाहिए जो समस्या को संबोधित करने के लिए निर्देशिका सेवा के साथ एकीकृत होती है। डीएस / एएस संयोजन एक विश्वसनीय "प्राधिकरण" बनाता है जो आपके सभी उपयोगकर्ताओं और उपकरणों के लिए एक मध्यस्थ के रूप में कार्य कर सकता है। उपयोगकर्ता खातों को प्रमाणीकरण में उपयोग किए जाने वाले वास्तविक पासवर्ड से उनका अभिगम दूर हो सकता है, जिससे पहुँच नीति से पासवर्ड को "डिस्कनेक्ट" करना आसान हो जाता है। पासवर्ड का नियंत्रण उपयोगकर्ता के खाते को निष्क्रिय करने से है; इसलिए यदि कोई व्यवस्थापक छोड़ता है, तो आप उनके खाते को बंद कर देते हैं, और उनकी पहुंच समाप्त हो जाती है (क्योंकि उस व्यक्ति का पासवर्ड केवल मान्य डीएस / एएस की वैधता के आधार पर पहुंच को वैध बनाता है)।
यह केवल तभी काम करेगा जब आप एक ऐसे वातावरण में हों जो आपके उपकरणों / कार्यक्रमों को उनके प्रमाणीकरण अनुरोधों को बाहरी स्रोतों तक पहुंचाने की अनुमति देता है, इसलिए यह आपके लिए समाधान नहीं हो सकता है । यदि आपके पास उपकरणों / कार्यक्रमों का एक महत्वपूर्ण प्रतिशत है जो बाहरी प्रमाणीकरण को समायोजित कर सकते हैं, तो मैं आगे जाऊंगा और ऐसा करूंगा, यदि बस कई सौ पासवर्डों को एक प्रबंधनीय सूची में नीचे करने के लिए कहें, एक दर्जन। यदि आप इस मार्ग पर जाने का निर्णय लेते हैं, तो इसके लिए कई ऑफ-द-शेल्फ, प्रसिद्ध और अच्छी तरह से परीक्षण किए गए समाधान हैं।
- सक्रिय निर्देशिका। संभवतः समूह का सबसे प्रसिद्ध, आपको प्रमाणीकरण विकल्प के रूप में केर्बरोस देता है, और बुनियादी डीएस के लिए एलडीएपी प्रदान करता है।
- सांबा / विनबाइंड। इसे "सक्रिय निर्देशिका लाइट" के रूप में सोचें, आपको AD की सभी सुविधाएँ नहीं मिलती हैं, बल्कि NT4 पर आधारित एक पुराना मॉडल लगता है (LANMAN hash)। यह सांबा 4 के विज्ञापन एकीकरण के साथ दबाया जाएगा और संभवतः "चले जाएंगे"।
- नोवेल निर्देशिका सेवाएँ। मैं इसकी सिफारिश करने के लिए इसके बारे में पर्याप्त नहीं जानता, लेकिन मुझे पता है कि यह अभी भी मौजूद है। बहुत सारी सरकारी संस्थाएँ अभी भी NDS चलाती हैं, इसलिए यदि आप उस "सेक्टर" में काम कर रहे हैं तो यह आपके लिए हितकारी होगा। नोवेल ने हाल ही में एनडीएस को लिनक्स सेवा के रूप में चलाने के लिए पोर्ट किया था, लेकिन मुझे नहीं पता कि यह अभी भी एक सक्रिय उत्पाद है (लगभग 2005)।
- LDAP + केर्बरोस। यह मूल रूप से "होम हो गया" सक्रिय निर्देशिका है, सभी "अच्छी सुविधाओं" को घटा देता है। हालांकि, उन्हें एक स्थिर, परिपक्व कोड आधार के साथ घटक भी जाना जाता है, इसलिए इन सेवा (ओं) का एकीकरण आमतौर पर चीजों को काम करने के लिए आवश्यक "अनुकूलन" की सीमा है।
- SSH कीज़ + (सिस्टम सिस्टम प्रोग्राम यहाँ डालें, शायद कठपुतली)। केवल उपयोगी है जहां आपके पास बोर्ड भर में एसएसएच है और सभी डिवाइस इस तरह से एक्सेस किए जाते हैं। कुंजी को जरूरत के अनुसार बाहर रखा जा सकता है और निरस्त किया जा सकता है, और पासवर्ड SSH कुंजी अनुदान पहुंच के रूप में "अप्रासंगिक" हो जाते हैं। कठपुतली जैसी प्रणाली का उपयोग करने से आप SSH कुंजियों को जोड़ने / रद्द करने के लिए आदेशों को जारी करके सैकड़ों मशीनों को अपडेट कर सकते हैं।
- उपरोक्त में से कुछ संयोजन।
इसमें यह भी सवाल है कि आपको कितनी सुरक्षा चाहिए। यदि आप "मिशन क्रिटिकल" द्वारा निर्दिष्ट नहीं करते हैं, तो इसका मतलब है कि शहरों में परमाणु युद्ध हो सकता है, या यदि "मिशन क्रिटिकल" का अर्थ है कि फ़्यूरबीज़ का नवीनतम शिपमेंट इसे शहर में नहीं बनाएगा। यह वास्तव में मदद करेगा यदि ऐसा कुछ था जो जोखिम / खतरे के आकलन का वर्णन करता है।