3
Zentraler SSH-Auth-Key für alle Mitarbeiter
Hallo zusammen,
ich stehe aktuell vor folgendem Problem:
Wir haben im Unternehmen Kunden-Server die wir per site-to-site-VPN über verschiedene Routen erreichen (keine Internetserver).
Es muss also nicht jeder Mitarbeiter selber ein VPN aufbauen.
Derzeit nutzen wir verschiedene Passwörter für die Server, wollen das aber gerne auf Keys umstellen.
1. Fall: Alle einen Key
Am liebsten wäre es mir, wenn ich natürlich für alle Server den gleichen Key nutzen könnte. Möchte aber vermeiden dass jeder Mitarbeiter den gleichen Key hat. (Es kann ja mal einer gehen und schon muss jeder den neuen Key nutzen. Viel Aufwand ...)
2. Fall: Jeder einen eigenen Key
Alternative wäre es, für jeden MItarbeiter einen eigenen Key zu generieren und alle bei allen Servern hinterlegen. Ist aber auch viel Aufwand und bei 40-50 Leuten auch nicht mehr praktikabel
3. Fall: Wunschidee
Jeder Mitarbeiter hat einen eigenen Key mit dem er sich auf einem "auth-Server" anmelden kann. Auf dem Auth-Server liegt der zentrale Server-Key mit dem der eigentliche Login dann erfolgt, ohne das der Mitarbeiter an den Privat-Key kommt.
Den 3. Fall habe ich soweit auch mit etwas scripting und ssh-einschränkungen auf einen Befehl (Script das alle Server listet auf die man gehen kann und nach auswahl die verbindung aufbaut) hinbekommen. Leider kann man so natürlich nicht mit z.B. WinSCP arbeiten oder mit Putty zusätzliche Ports Tunneln.
Gibt es hierfür eine einfache Lösung? (Ich hatte erst an Hostkeys gedacht, ist aber auch keine wirkliche Hilfe.
Bin hier für eigentlich alle Möglichkeiten offen.
Wichtig ist:
- SSH auf die Konsole
- SFTP für den Dateitransfair
- Bestimmte Locale Ports Tunneln (z.B. localen Webserver mit KundenTest-DB verbinden)
Kleine Randinfo: Intern setzen wir alle Windows und Linux ein.
Kleine Skizze zum Wunsch:
Mitarbeiter 1, 2, 3 ----- AuthServer ----- Server 1, 2, 3 ...
Bin mal gespannt wie das andere machen. Irgendwie muss das ja gehen, machen die Serveranbieter ja auch im Rechenzentrum so.
Gruß MN
P.S.: Ich bin beim Suchen über KeyBox gestolpert. Bin mir aber nicht sicher ob das in die Richtung geht.
ich stehe aktuell vor folgendem Problem:
Wir haben im Unternehmen Kunden-Server die wir per site-to-site-VPN über verschiedene Routen erreichen (keine Internetserver).
Es muss also nicht jeder Mitarbeiter selber ein VPN aufbauen.
Derzeit nutzen wir verschiedene Passwörter für die Server, wollen das aber gerne auf Keys umstellen.
1. Fall: Alle einen Key
Am liebsten wäre es mir, wenn ich natürlich für alle Server den gleichen Key nutzen könnte. Möchte aber vermeiden dass jeder Mitarbeiter den gleichen Key hat. (Es kann ja mal einer gehen und schon muss jeder den neuen Key nutzen. Viel Aufwand ...)
2. Fall: Jeder einen eigenen Key
Alternative wäre es, für jeden MItarbeiter einen eigenen Key zu generieren und alle bei allen Servern hinterlegen. Ist aber auch viel Aufwand und bei 40-50 Leuten auch nicht mehr praktikabel
3. Fall: Wunschidee
Jeder Mitarbeiter hat einen eigenen Key mit dem er sich auf einem "auth-Server" anmelden kann. Auf dem Auth-Server liegt der zentrale Server-Key mit dem der eigentliche Login dann erfolgt, ohne das der Mitarbeiter an den Privat-Key kommt.
Den 3. Fall habe ich soweit auch mit etwas scripting und ssh-einschränkungen auf einen Befehl (Script das alle Server listet auf die man gehen kann und nach auswahl die verbindung aufbaut) hinbekommen. Leider kann man so natürlich nicht mit z.B. WinSCP arbeiten oder mit Putty zusätzliche Ports Tunneln.
Gibt es hierfür eine einfache Lösung? (Ich hatte erst an Hostkeys gedacht, ist aber auch keine wirkliche Hilfe.
Bin hier für eigentlich alle Möglichkeiten offen.
Wichtig ist:
- SSH auf die Konsole
- SFTP für den Dateitransfair
- Bestimmte Locale Ports Tunneln (z.B. localen Webserver mit KundenTest-DB verbinden)
Kleine Randinfo: Intern setzen wir alle Windows und Linux ein.
Kleine Skizze zum Wunsch:
Mitarbeiter 1, 2, 3 ----- AuthServer ----- Server 1, 2, 3 ...
Bin mal gespannt wie das andere machen. Irgendwie muss das ja gehen, machen die Serveranbieter ja auch im Rechenzentrum so.
Gruß MN
P.S.: Ich bin beim Suchen über KeyBox gestolpert. Bin mir aber nicht sicher ob das in die Richtung geht.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 279853
Url: https://administrator.de/contentid/279853
Printed on: April 23, 2024 at 22:04 o'clock
3 Comments
Latest comment
Hallo,
kannst du den Login nicht mit dem Domänen Account verknüpfen?
brammer
kannst du den Login nicht mit dem Domänen Account verknüpfen?
brammer
Leider nein, da die Kunden-Server nicht zu uns gehören sondern beim Kunden stehen und teilweise selbst in der Domain vom Kunden sind.
Wollte daher beim Kunden möglichst ohne Anpassungen arbeiten. Hier intern arbeiten wir bereits mit den Domänen-Accounts.
Auf dem Auth-Server wäre das also kein Thema mit den Domänen-Anmeldungen.
Einen einfachen Key hinterlegen beim SSH-Server wäre am einfachsten, da das wohl wirklich jeder hinbekommt. Die SSH-Server sind zudem immer schon da.
Wollte daher beim Kunden möglichst ohne Anpassungen arbeiten. Hier intern arbeiten wir bereits mit den Domänen-Accounts.
Auf dem Auth-Server wäre das also kein Thema mit den Domänen-Anmeldungen.
Einen einfachen Key hinterlegen beim SSH-Server wäre am einfachsten, da das wohl wirklich jeder hinbekommt. Die SSH-Server sind zudem immer schon da.
Hallo,
ich würde mir einfach einen SEH Dongle Server ins Rack stellen, den kann man auch abschließen
und dann dort pro Kundenserver einen Nitro Key einstecken, dann kann jeder Mitarbeiter auf alle
SSH-Schlüssel zugreifen und sie benutzen, egal an welchen Server er nun ran muss und sie sind
trotz alledem nicht auslesbar oder kopierbar und somit auch sicher.
SEH Dongle Server unterstützen auch VLANs und sind in verschiedenen Größen erhältlich.
Das ist auch nichts zum Spielen, sondern kostet auch richtig Geld, nur man kann jeden Dongle
Server abschließen und somit ist auch nicht jeder der an das Rack ran kann an die Schlüssel
ran und jeder der Zugriff auf die USB Nitro Keys hat, kann sie dennoch nicht einmal kopieren.
SEH-Dongle Server
Nitro Key
Gruß
Dobby
ich würde mir einfach einen SEH Dongle Server ins Rack stellen, den kann man auch abschließen
und dann dort pro Kundenserver einen Nitro Key einstecken, dann kann jeder Mitarbeiter auf alle
SSH-Schlüssel zugreifen und sie benutzen, egal an welchen Server er nun ran muss und sie sind
trotz alledem nicht auslesbar oder kopierbar und somit auch sicher.
SEH Dongle Server unterstützen auch VLANs und sind in verschiedenen Größen erhältlich.
Das ist auch nichts zum Spielen, sondern kostet auch richtig Geld, nur man kann jeden Dongle
Server abschließen und somit ist auch nicht jeder der an das Rack ran kann an die Schlüssel
ran und jeder der Zugriff auf die USB Nitro Keys hat, kann sie dennoch nicht einmal kopieren.
SEH-Dongle Server
Nitro Key
Gruß
Dobby
