Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Admingruppen - Tool für Zentrales Management der Zugänge

Frage Netzwerke Netzwerkmanagement

Mitglied: Der-Phil

Der-Phil (Level 2) - Jetzt verbinden

14.08.2013 um 14:36 Uhr, 3690 Aufrufe, 12 Kommentare, 2 Danke

Hallo!

Ich suche eine Software, in der ich zentral Zugänge zu diversen Servern, Routern, etc. managen kann. Also im Endeffekt RDP, Telnet, SSH und Webinterface-Verbindungen.

Perfekt wäre es, wenn ich bei den jeweiligen Geräten bei Bedarf Zugangsdaten hinterlegen kann, die man nicht im Klartext sehen kann, die ich aber einem anderen Teammitglied zur Benutzung "freigeben" kann.

Problem ist einfach, dass viele der Geräte keine vernünftige Benutzerverwaltung haben. Wer den Admin-Account hat, hat alles...


Angeschaut habe ich bereits: ASG Visionapp Remotedesktop.
Die Verbindungen liegen auf einem Datenbankserver und ich kann private und öffentliche Benutzerdaten und Verbindungen pflegen und freigeben.
Das ist o.k., aber ich bin nicht wirklich begeistert, weil z.B. keine PublicKey-Authentifizierung möglich ist.

Kennt ihr eine Alternative?

Vielen Dank

Gruß
Phil
Mitglied: Skully
14.08.2013 um 14:45 Uhr
Hi,
schau dir mal von Devolutions (http://devolutions.net/) den Remotedesktop Manager - meiner Ansicht ist das Teil die Eierlegende Wohlmilch Sau....
Das ganze ist Datenbank basierend und kann im Team genutzt werden.

Gibt auch ne 30 Tage Testversion.

Gruß
Weasel
Bitte warten ..
Mitglied: Der-Phil
14.08.2013 um 15:15 Uhr
Hallo!

Danke für den Tipp! Bin gerade am Testen.

Was mir nicht gefällt (bisher) ist, dass man jedes Passwort per "Copy to Clipboard" exportieren kann.

Dadurch kann ich im Endeffekt einem Mitarbeiter nicht nachträglich wieder "sicher" Rechte entziehen, oder?

Phil
Bitte warten ..
Mitglied: Dobby
14.08.2013 um 15:46 Uhr
Hallo,

Du solltest einmal darüber nachdenken, ob man die Software nicht zusammen mit einem eigenen Management VLAN
nur für Euch Administratoren zusammen nutzen solltet und mittels eines KVM Switches darauf zugreift.

Also die meisten Switche haben ein so genanntes "Default VLAN" in dem erst einmal alle an das Netzwerk
angeschlossenen Geräte Mitglied sind und wenn man nun alle anderen vorhandenen VLANs noch einmal in ein extra VLAN
legt in dem das VLAN1 nicht enthalten ist kann man so recht schnell das VLAN1 nur für die Admins nutzen und hat es vom restlichen Netzwerk sauber getrennt und in diesem VLAN1 sind dann eben nur die Administratorkonsolen Eurer Gruppe
zusätzlich Mitglied! Mittels einem KVM Switch kann man auch recht schnell alle Geräte anbinden und hat dann nur von dort
aus Zugriff auf die Geräte. An den Geräten selber kann man dann ja auch noch hinterlegen, wenn sie es denn erlauben,
dass man sich eben nur, via SSH anmelden kann, und den Port respektive die Schnittstelle kann man auch hinterlegen und
wenn dieser dann zum VLAN1 gehört und keinem anderen VLAN ist das doch auch wieder recht sicher, oder?

Die Software die dann zum Einsatz kommt ist dann doch schon eher sekundär.
Hier noch ein Beispiel zu einem sicheren SSH Key Storage für Admins.
Der arbeitet mit OpenSSH, Putty und vielen anderen Programmen zusammen, so liegen die Schlüssel auch nicht auf
der Administratorkonsole.

P.S.

Das Tool von @whacky-weasel arbeitet mit Putty zusammen und der USB Stick ebenso.

Gruß
Dobby
Bitte warten ..
Mitglied: Der-Phil
14.08.2013 um 16:07 Uhr
Hallo!

Ich glaube, das geht etwas an meiner Anforderung vorbei. Es geht um verteilte Geräte und Server an diversen Standorten in mehreren Ländern.

Wichtig ist mir einfach die Möglichkeit, dass ich einem Admin für 4h Zugriff auf einen Router geben kann, ohne ihm das Passwort im Klartext geben zu müssen bzw. vorher und Nachher auf dem Router das Passwort ändern muss.

Und noch wichtiger: Ich will nicht alle Passworte auf allen Geräten ändern, wenn ein Admin ausscheidet, weil er eventuell alle Passworte im Klartext hat.

Dementsprechend möchte ich Verbindungen mit hinterlegten Benutzerdaten einem User geben können.

Gruß
Phil
Bitte warten ..
Mitglied: Dobby
14.08.2013 um 16:35 Uhr
Ich glaube, das geht etwas an meiner Anforderung vorbei. Es geht um verteilte Geräte und Server an diversen Standorten in mehreren Ländern.
Ich dachte Du beziehst dich lediglich auf ein lokales Netzwerk.

Wichtig ist mir einfach die Möglichkeit, dass ich einem Admin für 4h Zugriff auf einen Router geben kann, ohne ihm das Passwort im Klartext geben zu müssen bzw. vorher und Nachher auf dem Router das Passwort ändern muss.
Standorte via VPN verbinden und dann haben eben die Admins denen Du kurz den Zugang zu dem Server auf dem
der Remote Desktop Manager Server läuft.

Und noch wichtiger: Ich will nicht alle Passworte auf allen Geräten ändern, wenn ein Admin ausscheidet, weil er eventuell alle Passworte im Klartext hat.
Wenn es sich um weit verteilte Standorte handelt und die Admins auch über die WAN Schnittstelle auf die Geräte
zugreifen können, wird Dir wohl oder übel nichts anderes übrig bleiben, sollte man aber jedoch nur auf bzw. über die
LAN Schnittstelle zugreifen können, ist das wohl eher zu vernachlässigen.


Gruß
Dobby
Bitte warten ..
Mitglied: Skully
14.08.2013 um 16:56 Uhr
Ich würde für die Server Administration über einen anderen Ansatz an die Sache dran gehen.
Du hast doch sicherlich ein Active Directory - hier kannst Du doch für den jeweiligen Admin einen personalisierten User anlegen und die Anmeldezeit auf einen bestimmten Zeitraum beschränken und danach das Konto deaktivieren oder ablaufen lassen.

Für sonstige Geräte im Netzwerk mit LDAP oder AD-Anbindung geht das bestimmt auch.

Was haltet ihr davon?

Gruß
weasel
Bitte warten ..
Mitglied: Dobby
14.08.2013 um 17:05 Uhr
Dafür ein +1 von mir!

Für sonstige Geräte im Netzwerk mit LDAP oder AD-Anbindung geht das bestimmt auch.
Hätte ja auch jeder selber drauf kommen können!

Gruß
Dobby
Bitte warten ..
Mitglied: Dani
14.08.2013 um 17:20 Uhr
Moin Phil,
eine ähnliches Projekt hatten wir vor ca. einem Jahre auch. Wir haben uns damals für ASG entschieden. Da es noch am flexibelsten war. Wir merkten beim Testen gleich die Leistung der Datenbank im Hintergrund. Von wie vielen parallen Zugriffe reden wir bei dir und mit wie vielen Logins? Dateibasierende Datenbanken kannst du bei mehreren 100 Zugangsdaten in die Tonne treten. Keepass o.ä.

Wir haben angefangen erstmal für jedes Land eine Gruppe anzulegen und darunter einzelne Bundesländer. Somit können wir an Hand von AD-Gruppen genau steuern, wer wo Zugriff erhält. Benutzer aus der Gruppe entfernt, Rechte weg. Wir haben allerdings ASG auf einen RDS-Server am Laufen.

Für sonstige Geräte im Netzwerk mit LDAP oder AD-Anbindung geht das bestimmt auch.
Damit erschlägst du mit viel Glück 50% deiner Zugänge die es gibt. Viele Netzwerkgeräte unterstützten mit viel Glück TACACS. Es gibt genug Firewalls, Router die nur Radius-Server unterstützen, etc... da hast du gleich 3 bis 4 neue Server da stehen die du am Besten noch redudant auslegen solltest, den ohne diese ist kein Login mehr möglich. Vom Pflege und Wartungsaufand will ich gar nicht reden.

PublicKey-Authentifizierung möglich ist.
Für was?


Grüße,
Dani
Bitte warten ..
Mitglied: Skully
15.08.2013 um 07:56 Uhr
Zitat von Dani:
> Für sonstige Geräte im Netzwerk mit LDAP oder AD-Anbindung geht das bestimmt auch.
Damit erschlägst du mit viel Glück 50% deiner Zugänge die es gibt. Viele Netzwerkgeräte unterstützten mit
viel Glück TACACS. Es gibt genug Firewalls, Router die nur Radius-Server unterstützen, etc... da hast du gleich 3 bis 4
neue Server da stehen die du am Besten noch redudant auslegen solltest, den ohne diese ist kein Login mehr möglich. Vom
Pflege und Wartungsaufand will ich gar nicht reden.


Das sollte ja auch kein Problem sein für die anderen 50% ein oder zwei Radius Server aufzusetzen.
Am besten als VM auf einem HA-Cluster. Und wenn eben einer ausfällt ist das ja auch nicht sooo schlimm, dann machst Du eben ein Recovery.
Und da die "Original" Passwörter ja sowieso keiner hat, hat man ja dennoch direkten Zugriff auf die Geräte!.

Also "Null Problemo" wie ein haarige Freund mal sagte....


Grüße
weasel
Bitte warten ..
Mitglied: Der-Phil
15.08.2013 um 10:05 Uhr
Hallo!

Ganz so einfach ist es dann eben doch nicht. Vielleicht ist euer Netzwerk bzw. das eurer Kunden "sauberer", als das, das ich betreuen muss, aber da sind immer wieder Geräte, die eben nicht über ein Verzeichnis authentifizieren können.

...und wenn es nur ein blöder Printserver ist...


@Dani:
Danke für Deine Hilfe! Gerade teste ich ASG und RemoteDesktopManager parallel. Was ich besser finde, hängt von der Tageszeit ab
RemoteDesktopManager ist schon flexibler, aber bedarf auch etwas Einarbeitung.

Grüße
Phil
Bitte warten ..
Mitglied: Dani
17.01.2014 um 18:38 Uhr
@phil
was kam nun als Ergebnis raus?
Inzwischen kann Password Safe auch sehr viel von deinen Anforderungen. Wir testen es für uns gerade...


Grüße,
Dani
Bitte warten ..
Mitglied: Der-Phil
20.01.2014 um 08:01 Uhr
Hallo Dani,

ehrlich gesagt habe ich das Projekt noch nicht produktiv umsetzen können. Damals hatte ich mich aber für "RemoteDesktopManager" entschieden. Das konnte praktissch alles abdecken, was ich wollte.

Password Safe schaue ich dann auf jeden Fall noch einmal an.

Gruß
Dani
Bitte warten ..
Neuester Wissensbeitrag
Microsoft

Lizenzwiederverkauf und seine Tücken

(5)

Erfahrungsbericht von DerWoWusste zum Thema Microsoft ...

Ähnliche Inhalte
Netzwerkmanagement
SMT by palle Server Management Monitoring Tool (6)

Link von palle1977 zum Thema Netzwerkmanagement ...

Windows Tools
Change Management Tool gesucht (4)

Frage von xbast1x zum Thema Windows Tools ...

Windows Server
Fehlermeldung "DotNet Memory Management Global " (5)

Frage von xXEddiXx zum Thema Windows Server ...

LAN, WAN, Wireless
WLAN Management Verteilung (5)

Frage von eyetSolutions zum Thema LAN, WAN, Wireless ...

Heiß diskutierte Inhalte
Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

Microsoft Office
Keine Updates für Office 2016 (13)

Frage von Motte990 zum Thema Microsoft Office ...

Grafikkarten & Monitore
Tonprobleme bei Fernseher mit angeschlossenem Laptop über HDMI (11)

Frage von Y3shix zum Thema Grafikkarten & Monitore ...