web-dev-qa-db-ja.com

LinuxおよびWindowsのサーバー資格情報管理

私たちは、RHEL、Solaris、Windows 2003、およびWindows 2008サーバーが混在する比較的小さなショップ(システム管理者の数に関する限り)です。全部で約200台のサーバー。

管理者アカウント(Linuxではroot、Windowsではadmnistrator)には、データセンターの場所とサーバーの他のいくつかの文書化されたプロパティに依存するパスワードスキームがあります。

Linuxでは、現在の慣行では、suからrootにできる共有の非特権アカウントを作成しています。 Windowsベースのシステムでは、管理者権限を持つ追加のアカウントを作成します。これらのアカウントは両方とも同じパスワードを共有します。

これは非常に非効率的であることが証明されています。誰かが私たちの店を去るとき、私たちはしなければなりません:

  1. 管理者アカウントのパスワードスキームを変更する
  2. サーバーごとに新しい管理者パスワードを生成する
  3. 管理者以外の新しいアカウントパスワードを考え出す
  4. すべてのサーバーに触れて、パスワードを変更します

同様の環境にいる誰かが、これらの資格情報を管理するためのより適切な方法を提案できるかどうかを知りたいと思いました。いくつかの関連情報:

  • ほとんどのサーバーはADドメインの一部ですが、すべてがそうであるわけではありません。
  • 私たちはすべてのLinuxサーバーをPuppetで管理しています(キー認証は私が考えたオプションでしたが、それは上記の3番目の懸念にのみ対処します)。
  • LinuxサーバーをCobblerでプロビジョニングします。
  • 当社のハードウェアの約10%はVMWare専用です。そのような場合、サーバービルドにVMWareテンプレートを使用します。

どんなアイデアや提案も大歓迎です。これは長い間残っている問題であり、私は最終的にそれを解決したいと思います。

linuxwindows-server-2008securityactive-directorypuppet
12
Belmin Fernandez

私が持っているであろういくつかの提案は次のとおりです。

  • Windows ADに接続されたサーバーは、グループポリシー設定(GPP)またはコンピューターの起動スクリプトを使用して、グループポリシーを通じてローカル管理者のパスワードを設定できます。 http://social.technet.Microsoft.com/Forums/en-US/winserverGP/thread/b1e94909-bb0b-4e10-83a0-cd7812dfe073/ を参照してください。

  • 必要な場合を除いて、Windowsサーバーでのローカルアカウントの作成を制限します。可能な場合はADアカウントを使用してください。

  • Linuxコンピューター用のLDAPを使用して、ADに対する管理者アカウントを認証します。これにより、アカウント管理がいくらか簡素化されます。また、管理者が1つの場所で無効にし、アクセスできない状態にした場合は、Linux側を自由にクリーンアップできます。

  • Linuxの特定の管理者アカウントに/ etc/sudoersファイルを使用すると、管理者はrootパスワードを必要としません。これはインスタンスに適している可能性があります。そうすると、rootパスワードが必要になることはめったにないため、ロックしてしまう可能性があります。 更新

  • ルート管理者とローカル管理者のパスワードは、一般的な知識ではなく安全なパスワードで保管してください。一部のパスワードセーフには委任とログがあり、その人がパスワードにアクセスできなかった場合でも、パスワードをリセットする必要がない場合があります。

  • Rootアカウントとadminアカウントのパスワードリセットプロセスを自動化します。 LinuxとWindowsの両方でこれを行うようにスクリプト化できるため、時間を節約でき、それほど大きな負担にはなりません。

お役に立てば幸いです。

10
Bernie White

FreeIPA があなたのために働くかどうか試してみることができます。

中央の場所からホストへのユーザーアクセスを管理できます。他の人が示唆しているように、Sudoがルートレベルのアクセスに適しているかどうかを確認できます。 FreeipaはLDAPでsudoerをサポートしているため、各サーバーで、またはpuppetなどを介してsudoerを維持する必要はありません。

Freeipaは、Linux、Solaris、およびWindowsクライアントをサポートしています。特定のAD機能が失われる可能性があり、Windowsクライアントに他にどのような制限があるかわかりません。

レプリケーション機能を備えているため、SPOFを回避できます。バックエンドはLDAPであるため、バックアップスクリプトなど、LDAPに使用される多くのツールを再利用できる可能性があります。

ホストベースのアクセス制御をサポートしているため、「ユーザーXはYサーバーにのみログインできます」と言うことができます。

AD同期 も提供します。私はWindowsの人間ではないので、それが何を意味するのかさえわかりません。

2
Not Now

標準の管理者アカウントは使用しないでください。 Windows側では、管理者アクセスが必要なユーザーごとにユーザーアカウントと管理者アカウントを作成します。任意のツールを使用してUNIXに同期できます。

誰かが去った場合、あなたは彼らのユーザーと管理者アカウントを削除する必要があります。

標準の管理者アカウントを保護するには、非常に長く複雑なパスワードを設定し、1人のユーザーが半分しか持っていないことを確認します。アカウント全体を使用する必要がある場合は、残りの半分を持っている人を探しに行く必要があります。

それは私が考えることができるのと同じくらい安全です。

1
mauvedeity