Все журналы > Журнал Системный Администратор

Журнал Системный Администратор

Сентябрь 2007

Цена: $4.5 US

Проектируем систему обмена данными O3Spaces – расширение к OpenOffice.org для совместной работы Три способа миграции с SPS 2003 на MOSS 2007 Система управления запросами OTRS Используем Windows Messenger в корпоративной среде Мониторинг сети с BixData Один из вариантов настройки спутникового Интернета в Mandriva Linux 2007 Строим бюджетный сервер для малых или средних компаний fsbackup: удобная и компактная утилита для резервного копирования Как организовать сервис телерадиовещания в интранет-сети Солнечный мальчик Организуем хранение ключей OpenSSH в центральном сервере OpenLDAP Защищаем локальные ресурсы сети Средства администрирования «1С:Предприятие 8» Всё, что вы хотели знать о протоколе SIP. Часть 3 Микропроцессорные войны: хроника борьбы компаний Intel и AMD Есть проблема? Есть решение! Дела системные

Подписаться

Зарегистриванные пользователи, пожалуйста следуйте этой ссылке

Организуем хранение ключей OpenSSH в центральном сервере OpenLDAP

Последние обновления операционных систем, брандмауэры... Снаружи наша система – неприступный бастион. А изнутри? Редко меняющиеся и «расползающиеся» пароли, приходящие и уходящие пользователи, пересылка паролей по незащищеным каналам... Знакомо? Тогда эта статья для вас.

Многие системные администраторы, которые назначают пароли системным учетным записям на серверах, а затем раздают их пользователям (например, программистам и дизайнерам), сталкиваются с проблемой «расползания» паролей среди пользователей. И в результате невозможно определить, какие пользователи к какому ресурсу имеют доступ. К тому же, если используются пароли, то их необходимо менять каждые несколько месяцев, и при рассылке обновленных паролей существует опасность их «утечки».

Поэтому я полностью отказался от использования паролей и перешел к системе аккредитации пользователей. Каждый пользователь имеет свой публичный ключ SSH, который однозначно его идентифицирует, и таким образом, создавая список публичных ключей для какого-нибудь ресурса, можно управлять списком аккредитованных пользователей.

Затем я некоторое время использовал инструмент для централизованного управления серверами cfengine для копирования ключей пользователей на сервера. Но при этом возникла проблема, что из-за сложности cfengine системные администраторы 3-го и 4-го уровней не могли управлять аккредитацией пользователей.

К тому же из-за хранения ключей во множественных файлах на множественных серверах бывает проблематично определить, к каким ресурсам имеет доступ тот или иной пользователь, и, например, в случае ухода пользователя или утери приватного ключа есть вероятность «прозевать» какой-либо файл с этим ключом.

Конечно, можно было бы написать несколько простейших скриптов, которые раскладывали бы ключи по серверам и уничтожали бы неизвестные ключи. Но такие «самопальные» скрипты, как показывает практика, требуют немало времени на сопровождение при расширении систем, тестирование, документирование и обучение коллег системных администраторов, которые должны обеспечить работу этих скриптов в случае отсутствия разработчика.

Поэтому возникла идея по хранению ключей в централизированной базе данных.

Оставшая часть статьи доступна только подписчикам. Если вы желаете продолжить чтение этой статьи, то вам необходимо подписаться на эту статью или весь номер.

Подписаться на весь номер

Зарегистриванные пользователи, пожалуйста следуйте по этой ссылке