alibek Posted July 10, 2021 Posted July 10, 2021 Наконец "дозрел" сделать удаленный доступ на оборудование по сертификату. Как будет лучше сделать? 1. У каждого сотрудника свой персональный сертификат, на оборудование вносятся отпечатки допущенных сотрудников. 2. У каждого сервиса свой сертификат, допущенным сотрудникам выдаются ключи от них. Формально разумеется будет правильным первый вариант, но уж слишком много организационных хлопот. Да и с техническими ограничениями можно столкнуться, когда на определенных устройствах количество регистрируемых отпечатков ограничено. Второй вариант намного удобнее в использовании, но тогда разумеется будет проблемой отозвать ранее выданный доступ. Может быть есть какое-то гибридное решение? Типа групп в ACL, когда права выдаются на группу пользователей, а отдельные пользователи включаются или исключаются из группы. Вставить ник Quote
Sergey Gilfanov Posted July 10, 2021 Posted July 10, 2021 3. Оборудование пользуется внешними серверами/протоколами авторизации (уж не знаю, какие сейчас модные), которые сервера уже и спрашивают сертификаты. Вставить ник Quote
klezar Posted July 10, 2021 Posted July 10, 2021 Такакс+ вроде модно, да и радиус никто не отменял. Как по отпечаткам я чёт вообще не представляю. Что за оборудование то? Вставить ник Quote
YuryD Posted July 10, 2021 Posted July 10, 2021 5 минут назад, klezar сказал: Такакс+ вроде модно, Пропиетарный вроде и древний протокол, когда он стал модным снова ? Его я использовал в прошлом веке еще на диалапной киске... Ну и граблей там заложено полно, начиная от синхронизации времени. Вставить ник Quote
alibek Posted July 11, 2021 Author Posted July 11, 2021 TACACS+ это только для коммутаторов и некоторых маршрутизаторов. Да и вообще, вопрос не в реализации и не в конкретном софте/протоколе, а в идеологии. Внешние сервера авторизации, LDAP и прочее забудем, из коробки на основной части устройств имеется только ssh с авторизацией по паролю и ключу, из этого я и исхожу. Вставить ник Quote
dr Tr0jan Posted July 11, 2021 Posted July 11, 2021 3 hours ago, alibek said: TACACS+ это только для коммутаторов и некоторых маршрутизаторов. pam_tacplus? 3 hours ago, alibek said: на основной части устройств имеется только ssh с авторизацией по паролю и ключу А что тут размышлять то? Если ограничено количество регистрируемых отпечатков, куда прыгать то? Мы на продовых серверах eddsa юзаем, но есть огромный пласт серверов, которые только rsa умеют, вот и бифурцируем... Вставить ник Quote
Sergey Gilfanov Posted July 12, 2021 Posted July 12, 2021 18 часов назад, dr Tr0jan сказал: А что тут размышлять то? Если ограничено количество регистрируемых отпечатков, куда прыгать то? Эмм... Web терминалка со списком устройств. Которая на устройства ходит своим ключем, а пользователей различает и дает терминалы только разрешенных устройств. Для полноты счастья - еще и логирует все что там набирали. Прямое соединение к устройствам, разумеется, запрещено. Ну или даже не web, а просто промежуточный сервер, который соединения умеет дальше пробрасывать после авторизации. Если грубо и сердито, то что-то вроде такого в authorized_keys: user_key command="ssh -i device_key ..." или user_key permitopen="host:port" Вставить ник Quote
vodz Posted July 12, 2021 Posted July 12, 2021 Ну tacacs/radius - это немного для другого. Чтобы в одном месте и с навеской своих плагинов, которые проверяют сложную логику перед тем как разрешить, типа оплачено/по времени и т д. Единые сертификаты и ключи на конкретный вход это таки скорее kerberos. ldap - это вообще просто база, нереляционная, потому можно накрутить любую логику на каждой записи отдельно без сведения в жесткую табличку. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.