[alibek]

Наконец "дозрел" сделать удаленный доступ на оборудование по сертификату.

Как будет лучше сделать?

1. У каждого сотрудника свой персональный сертификат, на оборудование вносятся отпечатки допущенных сотрудников.

2. У каждого сервиса свой сертификат, допущенным сотрудникам выдаются ключи от них.

 

Формально разумеется будет правильным первый вариант, но уж слишком много организационных хлопот. Да и с техническими ограничениями можно столкнуться, когда на определенных устройствах количество регистрируемых отпечатков ограничено.

Второй вариант намного удобнее в использовании, но тогда разумеется будет проблемой отозвать ранее выданный доступ.

Может быть есть какое-то гибридное решение? Типа групп в ACL, когда права выдаются на группу пользователей, а отдельные пользователи включаются или исключаются из группы.

[Sergey Gilfanov]

3. Оборудование пользуется внешними серверами/протоколами авторизации (уж не знаю, какие сейчас модные), которые сервера уже и спрашивают сертификаты.

[klezar]

Такакс+ вроде модно, да и радиус никто не отменял. Как по отпечаткам я чёт вообще не представляю. Что за оборудование то? 

[YuryD]

5 минут назад, klezar сказал:

Такакс+ вроде модно,

 Пропиетарный вроде и древний протокол, когда  он стал модным снова ? Его я использовал в прошлом веке еще на диалапной киске... Ну и граблей там заложено полно, начиная от синхронизации времени.

[alibek]

TACACS+ это только для коммутаторов и некоторых маршрутизаторов.

Да и вообще, вопрос не в реализации и не в конкретном софте/протоколе, а в идеологии.

Внешние сервера авторизации, LDAP и прочее забудем, из коробки на основной части устройств имеется только ssh с авторизацией по паролю и ключу, из этого я и исхожу.

[dr Tr0jan]

3 hours ago, alibek said:

TACACS+ это только для коммутаторов и некоторых маршрутизаторов.

pam_tacplus?

 

3 hours ago, alibek said:

на основной части устройств имеется только ssh с авторизацией по паролю и ключу

А что тут размышлять то? Если ограничено количество регистрируемых отпечатков, куда прыгать то?

Мы на продовых серверах eddsa юзаем, но есть огромный пласт серверов, которые только rsa умеют, вот и бифурцируем...

[Sergey Gilfanov]

18 часов назад, dr Tr0jan сказал:

А что тут размышлять то? Если ограничено количество регистрируемых отпечатков, куда прыгать то?

Эмм... Web терминалка со списком устройств. Которая на устройства ходит своим ключем, а пользователей различает и дает терминалы только разрешенных устройств. Для полноты счастья - еще и логирует все что там набирали. Прямое соединение к устройствам, разумеется, запрещено. Ну или даже не web, а просто промежуточный сервер, который соединения умеет дальше пробрасывать после авторизации.

 

Если грубо и сердито, то что-то вроде такого в authorized_keys:

user_key command="ssh -i device_key ..."

или

user_key permitopen="host:port"

 

 

[vodz]

Ну tacacs/radius - это немного для другого. Чтобы в одном месте и с навеской своих плагинов, которые проверяют сложную логику перед тем как разрешить, типа оплачено/по времени и т д. Единые сертификаты и ключи на конкретный вход это таки скорее kerberos. ldap - это вообще просто база, нереляционная, потому можно накрутить любую логику на каждой записи отдельно без сведения в жесткую табличку.