Аутентификация с помощью SSSD
В настоящее время я работаю над проектом во время стажировки в организации, и, честно говоря, это небольшая проблема, поэтому я надеюсь, что вы, ребята, сможете мне помочь.
Предыстория:
Организация, в которой я работаю, имеет производственную среду из более чем 120 серверов, в основном Redhat и несколько компьютеров с Windows , удалось с Puppet. Машины Windows - это в основном просто балансировщики нагрузки, поэтому они выходят за рамки этого проекта. В настоящее время все входят в систему с учетной записью root, что не требует пояснений, почему это огромная проблема по разным причинам.
Итак, цель моего проекта - настроить систему аутентификации и регистрации, которая использует существующие учетные записи пользователей Active Directory, чтобы предоставить пользователям доступ к производственной среде. Я решил сделать это с помощью realmd / sssd. Мой план состоит в том, чтобы настроить два сервера для обработки аутентификации и журналов, и позволить остальным серверам аутентифицироваться против них, и отправьте им логи.
Вопрос 1:
Как уже упоминалось, я хочу настроить два сервера для обработки аутентификации, и мой вопрос: как мне настроить остальные серверы для аутентификации против них? Например; если кто-то подключается по SSH к машине, эта машина должна связаться с серверами аутентификации для аутентификации, а если у них нет учетных данных, хранящихся в кэше, серверы аутентификации должны аутентифицироваться в Active Directory.
Вопрос 2:
Каковы передовые методы и программное обеспечение для мониторинга журналов? Я хочу регистрировать попытки входа в систему, успешные входы в систему и команды, выполняемые пользователями.
Вопрос 3:
Я хочу управлять тем, что пользователи могут делать в среде, какие команды они могут выполнять и ресурсы, к которым они могут получить доступ. Каковы лучшие практики для этого?
Я знаю, что это много вопросов, Надеюсь, я ясно объяснил, английский - не мой основной язык. Я работаю над этим в полном одиночестве, и мой менеджер / коллеги не могут мне помочь. Сейчас я чувствую себя немного потерянным, поэтому буду очень признателен за любой вклад.
Я бы предпочел настроить auditd, beats и sssd на всех ваших ящиках, чем создавать отдельную настройку входа.Нет необходимости вводить зависимость от этих полей для вашего административного процесса.
Q1: Позвольте вашим ящикам запрашивать пользователей в AD и аутентифицироваться в AD напрямую с помощью sssd.
Q2: Настройте auditd на всех своих компьютерах, чтобы проверять логины пользователей и выполняемые команды , а также настройте серверы для ELK или Graylog или используйте Splunk для агрегирования ваших журналов. Используйте beats Elastic для отправки всех видов журналов в ваш любимый агрегатор журналов.
Q3: Ограничение аутентификации может быть выполнено несколькими способами, я использую членство в группах LDAP. Чтобы ограничить доступ к ресурсам, используйте SELinux и sudo.
Боковое примечание: в зависимости от того, насколько протоколом должна быть ваша балансировка нагрузки, вам может быть лучше использовать HAProxy - возможно, вы захотите взглянуть на это .
Боковое примечание (2), из комментариев: Если нагрузка на AD вызывает беспокойство, выполните репликацию (с помощью AD или с LSC ) и балансируйте нагрузку - здесь также может помочь HAProxy.