alibek Опубликовано 10 июля, 2021 · Жалоба Наконец "дозрел" сделать удаленный доступ на оборудование по сертификату. Как будет лучше сделать? 1. У каждого сотрудника свой персональный сертификат, на оборудование вносятся отпечатки допущенных сотрудников. 2. У каждого сервиса свой сертификат, допущенным сотрудникам выдаются ключи от них. Формально разумеется будет правильным первый вариант, но уж слишком много организационных хлопот. Да и с техническими ограничениями можно столкнуться, когда на определенных устройствах количество регистрируемых отпечатков ограничено. Второй вариант намного удобнее в использовании, но тогда разумеется будет проблемой отозвать ранее выданный доступ. Может быть есть какое-то гибридное решение? Типа групп в ACL, когда права выдаются на группу пользователей, а отдельные пользователи включаются или исключаются из группы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 10 июля, 2021 · Жалоба 3. Оборудование пользуется внешними серверами/протоколами авторизации (уж не знаю, какие сейчас модные), которые сервера уже и спрашивают сертификаты. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
klezar Опубликовано 10 июля, 2021 · Жалоба Такакс+ вроде модно, да и радиус никто не отменял. Как по отпечаткам я чёт вообще не представляю. Что за оборудование то? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 10 июля, 2021 · Жалоба 5 минут назад, klezar сказал: Такакс+ вроде модно, Пропиетарный вроде и древний протокол, когда он стал модным снова ? Его я использовал в прошлом веке еще на диалапной киске... Ну и граблей там заложено полно, начиная от синхронизации времени. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 11 июля, 2021 · Жалоба TACACS+ это только для коммутаторов и некоторых маршрутизаторов. Да и вообще, вопрос не в реализации и не в конкретном софте/протоколе, а в идеологии. Внешние сервера авторизации, LDAP и прочее забудем, из коробки на основной части устройств имеется только ssh с авторизацией по паролю и ключу, из этого я и исхожу. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dr Tr0jan Опубликовано 11 июля, 2021 · Жалоба 3 hours ago, alibek said: TACACS+ это только для коммутаторов и некоторых маршрутизаторов. pam_tacplus? 3 hours ago, alibek said: на основной части устройств имеется только ssh с авторизацией по паролю и ключу А что тут размышлять то? Если ограничено количество регистрируемых отпечатков, куда прыгать то? Мы на продовых серверах eddsa юзаем, но есть огромный пласт серверов, которые только rsa умеют, вот и бифурцируем... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 12 июля, 2021 · Жалоба 18 часов назад, dr Tr0jan сказал: А что тут размышлять то? Если ограничено количество регистрируемых отпечатков, куда прыгать то? Эмм... Web терминалка со списком устройств. Которая на устройства ходит своим ключем, а пользователей различает и дает терминалы только разрешенных устройств. Для полноты счастья - еще и логирует все что там набирали. Прямое соединение к устройствам, разумеется, запрещено. Ну или даже не web, а просто промежуточный сервер, который соединения умеет дальше пробрасывать после авторизации. Если грубо и сердито, то что-то вроде такого в authorized_keys: user_key command="ssh -i device_key ..." или user_key permitopen="host:port" Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vodz Опубликовано 12 июля, 2021 · Жалоба Ну tacacs/radius - это немного для другого. Чтобы в одном месте и с навеской своих плагинов, которые проверяют сложную логику перед тем как разрешить, типа оплачено/по времени и т д. Единые сертификаты и ключи на конкретный вход это таки скорее kerberos. ldap - это вообще просто база, нереляционная, потому можно накрутить любую логику на каждой записи отдельно без сведения в жесткую табличку. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...