Аутентификация пользователя с помощью Puppet и Active Directory
Я только начал стажировку в правительственной организации, и мое первое задание - разработать пользовательскую систему для нашей внутренней серверной фермы из 120+ серверов Redhat и Windows. Внутренняя серверная ферма управляется с помощью Puppet. Сейчас все входят в систему с одной и той же учетной записью root / admin, что не требует пояснений, почему это огромная проблема по разным причинам. У меня нет точных цифр, но мы Мы говорим о по крайней мере 30 человек, использующих одну и ту же учетную запись - и большая часть их работы не требует такого уровня доступа / привилегий. Я предложил два решения проблемы, и я был бы очень признателен вам за отзывы о них, ребята.
1) Аутентификация через AD на серверную ферму
Идея состоит в том, чтобы настроить сервер аутентификации (желательно два для избыточности), который подключен к правительственной AD с помощью SSSD / FreeIPA, и если пользователи аутентифицированы, они предоставлен доступ к serverfarm, где Puppet используется для управления их привилегиями. Управление привилегиями через AD не является вариантом, потому что этой организацией управляет более высокий экземпляр, который контролирует AD. Мы с моим менеджером предпочитаем это решение, потому что мы можем позволить другой администрации управлять учетными записями и, таким образом, не Имеют две отдельные системы. Требуется предоставлять ежемесячные отчеты об активности пользователей, если в правительственной организации есть отдельная пользовательская система, отличная от основного AD, и мой отдел действительно занят, поэтому мы бы хотели избежать такой задачи.
2) Локальное администрирование привилегий пользователей
Другое решение - отказаться от сервера аутентификации и просто управлять системой пользователей и их привилегиями через Puppet. Таким образом, мы полностью контролируем ситуацию и не должны полагаться на администрацию. Обратной стороной этого является то, что у нас будет отдельная пользовательская система, которой нужно управлять. Это, конечно, может представлять угрозу безопасности, если старые сотрудники / консультанты не будут удалены из системы, но, что наиболее важно, у нас нет времени на другую трудоемкую задачу.
Прочитав статьи и другие сообщения на эту тему, я понял, что SSSD / FreeIPA, вероятно, лучший вариант, но я не уверен. Так что вы думаете, ребята? Какое из предложенных решений является лучшим и / или есть третье, лучшее решение проблемы?
Заранее спасибо!
Ответ от человека, работающего в правительственной лаборатории США. Присоедините свои системы к домену AD. Инструменты realm хорошо работают с Red Hat 7. Настройте sssd для аутентификации пользователей. Используйте puppet для управления /etc/security/access.conf для управления доступом пользователей, а puppet также контролирует / etc / sudoers и /etc/sudoers.d. По сути, используйте ваш вариант 1. Также настройте syslog на отправку всех журналов безопасности на центральный сервер журналов с ограниченным доступом. Теперь у вас есть учетные записи, контролируемые основным AD, так что на одну головную боль меньше. Все входы в систему и запросы sudo регистрируются на центральном сервере системного журнала, поэтому у вас есть одно место, откуда можно получить отчеты об использовании. Я бы также заблокировал учетную запись root, чтобы в нее нельзя было войти через ssh, чтобы вы заставляли людей использовать su или sudo. Попросите менеджера отговорить su как рутинный вариант.
Удачи вам в стажировке. Это отличный проект для реализации.