Centrální managment klíčů

Ahoj,

prosím o radu.

Jde mi o nějaký centrální managment uživatelů - resp. každý je v daném případě admin.

LDAP je zbytečně komplikované, tak jsem se asi rozhodl pro centrálně uložené klíče - svazány s admin účtem.

Otázkou je, ale jak co nejlépe a nejbezpečněji realizovat distribuci těchto klíčů na desítky serverů - optimálně automaticky.

Věřím, že tohle už někdo řeší, takže se rád zeptám na vaše nápady. Mě napadl rsync nebo případně stažení klíčů z http v zip a rozbalení... ale asi to není nejlepší..

Díky

Pavel

Koukam, ze mas dost specificke vnimani pojmu "zbytečně komplikované".
Radsi za pul dne nainstaluju LDAP nez bych tyden vymyslel nestandartni a zbytecne komplikovane reseni.

12.9.2012 17:31 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Centrální managment klíčů

A ono už OpenSSHd umí cucat klíče z LDAPu? Ještě nedávno se to muselo patchovat.

Tazatel: starší cesta je prostě to na ty servery SCPčkovat (HTTP bych radši nepoužil, když už, tak HTTPS). Nové OpenSSH umí PKI a CA, takže by mělo jít klíče uživatelům prostě podepsat. Oskar o tom psal na Rootu.

12.9.2012 20:01 alkoholik | skóre: 40 | blog: Alkoholik
Rozbalit Rozbalit vše Re: Centrální managment klíčů

Ne, v LDAPu by normalne autorizoval hesla pres PAM.
A kdyby chtel SSO, porad muze zkusit Kerberos.

12.9.2012 20:52 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Centrální managment klíčů

Mně z dotazu přijde, že chce spravovat SSH klíče…

12.9.2012 23:20 xkucf03 | skóre: 49 | blog: xkucf03
Rozbalit Rozbalit vše Re: Centrální managment klíčů

To není ekvivalentní, protože ti musí fungovat spojení s LDAPem – z tohoto důvodu může být lepší kopírovat klíče na jednotlivé servery – pak jsou nezávislé. Případně dát na každý server LDAP repliku.

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes

Dotaz: Centrální managment klíčů

Odpovědi