लिनक्स और विंडोज के लिए सर्वर क्रेडेंशियल प्रबंधन

12

हम आरएचईएल, सोलारिस, विंडोज 2003 और विंडोज 2008 सर्वरों के मिश्रण के साथ एक अपेक्षाकृत छोटी दुकान (जहां तक ​​सिसड्मिन की संख्या है) हैं; सभी में लगभग 200 सर्वर।

हमारे व्यवस्थापक खातों ( rootलिनक्स और admnistratorविंडोज में) के लिए, हमारे पास एक पासवर्ड योजना है जो डेटा सेंटर स्थान और सर्वर के अन्य प्रलेखित गुणों के एक जोड़े पर निर्भर करती है।

लिनक्स पर, हमारा वर्तमान अभ्यास एक साझा गैर-विशेषाधिकार प्राप्त खाता बनाना है जहां हम कर सकते suहैं root। विंडोज-आधारित सिस्टम पर, हम व्यवस्थापक विशेषाधिकारों के साथ एक अतिरिक्त खाता बनाते हैं। ये दोनों खाते समान पासवर्ड साझा करते हैं।

यह बहुत अक्षम साबित हुआ है। जब कोई हमारी दुकान छोड़ता है, तो हमें यह करना होगा:

  1. व्यवस्थापक खातों के लिए पासवर्ड योजना बदलें
  2. प्रत्येक और हर सर्वर के लिए एक नया व्यवस्थापक पासवर्ड जनरेट करें
  3. एक नया गैर-व्यवस्थापक खाता पासवर्ड लेकर आएं
  4. हर सर्वर को टच करें और पासवर्ड बदलें

मैं जानना चाहता था कि क्या समान वातावरण में कोई भी इन क्रेडेंशियल्स को प्रबंधित करने का अधिक समझदार तरीका सुझा सकता है। कुछ प्रासंगिक जानकारी:

  • हालाँकि हमारे अधिकांश सर्वर हमारे AD डोमेन का हिस्सा हैं, लेकिन सभी नहीं हैं।
  • हम अपने सभी लिनक्स सर्वर को कठपुतली के साथ प्रबंधित करते हैं (कुंजी प्रमाणीकरण एक विकल्प था जिसे मैंने सोचा था लेकिन यह केवल ऊपर से # 3 चिंता का समाधान करेगा)।
  • हम कोब्बलर के साथ लिनक्स सेवर का प्रावधान करते हैं।
  • हमारे हार्डवेयर का लगभग 10% VMWare को समर्पित है। उन मामलों में, हम सर्वर बिल्ड के लिए VMWare टेम्प्लेट का उपयोग करते हैं।

किसी भी विचार या सुझाव की बहुत सराहना की जाएगी। यह एक ऐसी समस्या है जो पिछले कुछ समय से सुलग रही है और मैं आखिरकार इसे सुलझाना चाहता हूं।

linux  windows-server-2008  security  active-directory  puppet 
बेलमिन फर्नांडीज
स्रोत

जवाबों:

10

मेरे पास कुछ सुझाव होंगे:

  • Windows AD कनेक्ट किए गए सर्वर में समूह नीति प्राथमिकताएँ (GPP) या कंप्यूटर स्टार्टअप स्क्रिप्ट का उपयोग करके समूह नीति के माध्यम से सेट किए गए उनके स्थानीय व्यवस्थापक पासवर्ड हो सकते हैं। Http://social.technet.microsoft.com/Forums/en-US/winserverGP/thread/b1e94909-bb0b-4e10-83a0-cd7812dfe073/ देखें

  • जब तक आवश्यक नहीं विंडोज सर्वर पर स्थानीय खातों का निर्माण। जब संभव हो तो AD खातों का उपयोग करें।

  • AD को व्यवस्थापक खातों को प्रमाणित करने के लिए Linux कंप्यूटर के लिए LDAP का उपयोग करें। यह कुछ हद तक खाता प्रबंधन को सरल बनाता है। और जब एक व्यवस्थापक लीव केवल एक जगह पर निष्क्रिय हो जाता है और कोई पहुंच नहीं होती है, तो आप अपने अवकाश पर लिनक्स पक्ष को साफ कर सकते हैं।

  • लिनक्स पर विशिष्ट व्यवस्थापक खाते के लिए / etc / sudoers फ़ाइल का उपयोग करें, फिर व्यवस्थापक को रूट पासवर्ड की आवश्यकता नहीं है। यह आपके उदाहरण में अच्छा हो सकता है क्योंकि तब उन्हें शायद ही कभी रूट पासवर्ड की आवश्यकता होगी ताकि इसे लॉक किया जा सके। अपडेट किया गया

  • रूट और लोकल एडमिन पासवर्ड को पासवर्ड में सुरक्षित रखें, सामान्य ज्ञान में नहीं। कुछ पासवर्ड सेफ में डेलिगेशन और लॉगिंग है, इसलिए आपको पासवर्ड रीसेट करने की आवश्यकता भी नहीं हो सकती है, अगर उस व्यक्ति के पास कभी भी एक्सेस न हो।

  • रूट और व्यवस्थापक खातों के लिए पासवर्ड रीसेट प्रक्रिया को स्वचालित करें। लिनक्स और विंडोज दोनों को ऐसा करने के लिए स्क्रिप्ट किया जा सकता है ताकि यह आपको कुछ समय बचा सके और इसे इतना बोझ न बना सके।

उम्मीद है की वो मदद करदे।

बर्नी व्हाइट
स्रोत
LDAP के साथ मेरा मुद्दा विफलता का एक बिंदु है। मैं नहीं बल्कि कठपुतली के माध्यम से खातों का प्रबंधन करना चाहते हैं। और आपके सुझावों की सराहना करते हैं। साभार @Bernie!
बेलमिन फर्नांडीज
1
@ बीमिंग यदि आप सक्रिय निर्देशिका का उपयोग करते हैं तो आपके पास एक से अधिक डोमेन नियंत्रक (विफलता का कोई एकल बिंदु) नहीं हो सकता है और फिर LDAP क्वेरी के लिए सभी डोमेन नियंत्रकों को प्राप्त करने के लिए DNS डोमेन नाम जैसे domain.com को इंगित करें। या आप एक DC रिकॉर्ड को विशिष्ट DC को इंगित करने के लिए सेटअप कर सकते हैं, यदि आप ldap.domain.com जैसे LDAP पर प्रतिक्रिया देने के लिए केवल दो या तीन चाहते हैं। मैंने कठपुतली का उपयोग नहीं किया है, लेकिन आसान उपयोगकर्ता प्रशासन की कुंजी एक ऐसा स्रोत नहीं है जहां संभव हो। यह संभावना होगी कि कठपुतली किसी भी तरह बैक-एंड LDAP सर्वर से जुड़ सकती है यदि आप इसे इस तरह से पसंद करते हैं।
बर्नी व्हाइट
सहमत थे कि AD यहाँ जाने का रास्ता है। 2+ डोमेन नियंत्रकों के साथ, AD के पूरी तरह से नीचे जाने की संभावना पतली है, लेकिन यह भी, अगर यह करता है, तो आपके पास बहुत बड़े मुद्दे होने की संभावना है। अपने लिनक्स सर्वर पर स्थानीय रूट खातों को अंतिम-रिसोर्ट के रूप में उपयोग करने के लिए बनाए रखें यदि अन्य सभी विफल हो जाते हैं।
ईईएए
2
@ बर्नी - अपने 3 अंक के बारे में। सुडो का उपयोग करते समय, किसी को भी रूट पासवर्ड जानने की आवश्यकता नहीं होती है। एक sudo प्रविष्टि पर "NOPASSWD" निर्दिष्ट करके, उपयोगकर्ता को अपना पासवर्ड दर्ज करने की आवश्यकता नहीं है । इसका रूट पासवर्ड से कोई लेना-देना नहीं है।
ईईएए
@ ईरीका +1 बहुत सही है। NOPASSWD के संदर्भ को हटा दिया गया क्योंकि यह प्रश्न का उत्तर देने में मदद नहीं करता /
बर्नी व्हाइट
2

आप कोशिश कर सकते हैं और देखें कि क्या FreeIPA आपके लिए काम करता है।

आप केंद्रीय स्थान से मेजबानों तक उपयोगकर्ता पहुंच का प्रबंधन कर सकते हैं। जैसा कि अन्य लोगों द्वारा सुझाया गया है, आप देख सकते हैं कि क्या रूट लेवल एक्सेस के लिए sudo आपके लिए काम करता है। Freeipa LDAP में sudoers का समर्थन करता है, इसलिए आपको इसे प्रत्येक सर्वर पर या कठपुतली आदि के माध्यम से बनाए रखने की आवश्यकता नहीं है।

फ्रीपा लिनक्स, सोलारिस और विंडोज क्लाइंट का समर्थन करता है। आप कुछ AD सुविधाएँ खो सकते हैं और मुझे यकीन नहीं है कि Windows क्लाइंट की अन्य सीमाएँ क्या होंगी।

इसमें प्रतिकृति विशेषताएं हैं, जिससे आप SPOF से बच सकते हैं। बैकएंड एलडीएपी है, इसलिए आप संभवतः कई उपकरणों का पुन: उपयोग कर सकते हैं जो लोग एलडीएपी के लिए उपयोग करते हैं, जैसे बैकअप स्क्रिप्ट।

यह मेजबान आधारित अभिगम नियंत्रण का समर्थन करता है, इसलिए आप कह सकते हैं कि "उपयोगकर्ता एक्स केवल वाई सर्वरों में प्रवेश कर सकता है"।

यह AD सिंक्रोनाइज़ेशन भी प्रदान करता है । मैं एक Windows व्यक्ति नहीं हूं, इसलिए मुझे नहीं पता कि इसका क्या मतलब है।

अभी नहीं
स्रोत
1

मानक व्यवस्थापक खाते का उपयोग न करें। विंडोज की चीजों पर, प्रत्येक उपयोगकर्ता के लिए एक उपयोगकर्ता खाता और एक व्यवस्थापक खाता बनाएं, जिसे व्यवस्थापक पहुंच की आवश्यकता हो। आप UNIX को सिंक करने के लिए किसी भी टूल का उपयोग कर सकते हैं।

अगर कोई छोड़ देता है, तो आपको बस उनके उपयोगकर्ता और व्यवस्थापक खातों को हटाने की आवश्यकता है।

मानक व्यवस्थापक खाते को सुरक्षित करने के लिए, इसे वास्तव में लंबा और जटिल पासवर्ड दें, फिर सुनिश्चित करें कि किसी भी एक व्यक्ति के पास केवल आधा है। यदि उन्हें पूरे खाते का उपयोग करने की आवश्यकता है, तो उन्हें किसी ऐसे व्यक्ति को ढूंढने की आवश्यकता है जिसके पास दूसरा आधा है।

मैं जितना सोच सकता हूं उतना सुरक्षित है।

mauvedeity
स्रोत
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.