使用 SSSD 進行身份驗證
我目前正在一家組織實習,正在做一個項目,老實說,這有點挑戰,所以我希望你們能幫助我。
背景:
我工作的組織有一個由 120 多台伺服器組成的生產環境,主要是 Redhat 和一些 Windows 機器,由 Puppet 管理。Windows 機器基本上只是負載均衡器,因此它們不在本項目的範圍內。就像現在一樣,每個人都使用 root 帳戶登錄,這應該是不言自明的,為什麼由於各種原因這是一個巨大的問題。
因此,我的項目的目標是設置一個使用現有 Active Directory 使用者帳戶的身份驗證和日誌系統,以授予使用者對生產環境的訪問權限。我選擇用realmd/sssd 來做這件事。我的計劃是設置兩台伺服器來處理身份驗證和日誌,並讓其餘伺服器針對這些伺服器進行身份驗證,並將日誌發送給它們。
問題一:
如前所述,我想設置兩台伺服器來處理身份驗證,我的問題是;如何配置其餘伺服器以針對這些伺服器進行身份驗證?例如; 如果有人通過 SSH 連接到一台機器,那台機器應該聯繫身份驗證伺服器進行身份驗證,如果他們沒有儲存在記憶體中的憑據,身份驗證伺服器應該針對 Active Directory 進行身份驗證。
問題2:
監控日誌的最佳實踐和軟體是什麼?我想記錄登錄嘗試、成功登錄和使用者正在執行的命令。
問題 3:
我想管理使用者在環境中可以做什麼,他們可以執行什麼命令以及他們可以訪問的資源。這方面的最佳做法是什麼?
我知道這是很多問題,我希望我已經清楚地解釋了自己,英語不是我的主要語言。我完全獨自工作,我的經理/同事並沒有真正的幫助。在這一點上我感到有點失落,所以我非常感謝任何投入。
我寧願建議在你所有的盒子上設置 auditd、beats 和 sssd,而不是創建一個專用的入口設置。無需為您的管理流程引入對這些框的依賴。
Q1:讓您的盒子查詢 AD 中的使用者並直接使用 sssd 對 AD 進行身份驗證。
Q2:在你所有的盒子上設置 auditd 來審計使用者登錄和執行的命令,並為ELK或Graylog設置伺服器或使用Splunk來聚合你的日誌。使用 Elastic 的節拍將各種日誌發送到您喜歡的日誌聚合器。
Q3:身份驗證限制可以通過多種方式完成,我使用的是 LDAP 組成員身份。要限制資源訪問,請使用 SELinux 和 sudo。
旁注:根據您的負載平衡需要如何了解協議,使用HAProxy可能會更好- 可能想看看。
旁注 (2),來自評論:如果 AD 上的負載是一個問題,請複制(AD-wise 或使用LSC)和負載平衡 - HAProxy 在這裡也可以提供幫助。