私たちの組織にはLinuxサーバーのプライベートネットワークがあります。このネットワークはインターネットから分離されており、ネットワークとサーバーへのプライベートアクセスが制限されています。
各サーバーには標準ユーザーログインとrootユーザーログインがあります。私たちの店では、ユニバーサルログインIDとパスワードを割り当てています。たとえば、
- 標準ユーザーログイン名=
foo
、パスワード=bar
- rootユーザーのログイン名=
super
、パスワード=user
foo
当社のすべてのプログラムにはsuper
関連パスワードでログインする必要があります。
トレーサビリティのために、認証された各ユーザーが一意の標準ユーザーログインを持つように変更したいのですが、デフォルトのパスワードを引き続き使用します。ルートレベルのアクセスログインは変更されないと予想されます。
たとえば、私がユーザーであれば、私たちのfoo93
サーバーの1つを使用してログインできます。他のユーザーは次のアカウントでログインできます。foo93
bar
foo29
私は次のことを想像しています。
serverX
次にログインfoo93
serverX
foo93
中央サーバーで有効なユーザーであることを確認してください。- 中央サーバーは、はいまたはいいえで応答します。
- その場合は、標準レベルのアクセス権を付与してください
serverX
。
これは可能ですか?どのように?誰かが私にどこを見なければならないか教えてくれたら、私は従うことができます。
CLIで基本的な作業を実行できますが、どこから答えを見つけるべきかわかりません。アクセスやパスワードの制御に関する情報をGoogleで検索しました。興味深い結果を得ました。 IMOはこの問題には適用されません。
答え1
ルートレベルのアクセスログインは変更されないと予想されます。
これは確かにオプションではありません。何が起こったのかを追跡し、個人ユーザーとしてログインしようとしている人が間違いを犯したり、いたずらしたりするのはなぜですか?そうではありません。追跡する必要がある重要な作業は、ルートで行われます。匿名のルートを持つことは無責任です。
正直、ルートアクセスを無効にしましょう。みんな。直接ログインする権限を持つユーザーがいません(またはルートパスワードが非常に長く、オフィスドライブにあり、管理者だけが復号化キーを知っています)。ルートで作業を完了する必要がある場合は、sudo
アクセスを一元化して記録してください。これはかなり標準的なポリシーです!
foo93 で serverX にログインします。 serverX は、foo93 が有効なユーザーであることを確認するために中央サーバーをチェックします。中央サーバーは「はい」または「いいえ」で応答します。その場合、serverXに標準レベルのアクセス権を付与します。私
これは標準的な解決策のように聞こえます。 PAMを一元化します。アイデンティティ管理。このような状況が存在します。 Windowsの世界ではこれを「Active Directory」と呼びます(実際にはActive Directoryドメインコントローラに対して認証できます)。 Linux環境では、小規模な設定ではLinuxログイン以外にシングルサインオンは必要ありません。特に、プラグインを介してログインにSSSDを使用するようにクライアントを設定しますldap
。これには中央サーバーの認証が必要です。また、誰かが初めてコンピュータにログオンしたときにディレクトリを作成するなどの作業も実行できます。
のようなものを検索すると、distroname SSSD LDAP guide
おおよそのアイデアは次のようになります。
内部ドメインの名前を選択してください。 「airgappednet」など。
1つのマシンを中央のIDサーバーとして指定します(通常は仮想マシンを使用します。単にスナップショットを撮ってバックアップマシンに移行できるようにしたいからです。そうしないと、単一の障害点が作成されます。ガスエアギャップがあるので、インターネットがあるときにVMを設定し、VMイメージをドライブにコピーし、エアギャップを介して転送してから秘密を設定する方が簡単です)
- オープンLDAPをインストールします。
- 認証サーバーとの暗号化された通信のために、そのサーバーVM(これには自己署名SSL証明書が必要です)にSlapdを設定します(同じエアギャップネットワーク内でもパスワードが関連付けられている場合は絶対に暗号化しないでください)。
- ユーザーをLDAPデータベースに追加すると、ドメインはプレフィックス
dc
の一部になります。
LDAP を使用してユーザーを認証するためのクライアントの構成
- sssd、sssd-ldap、ldap クライアントのインストール
- auselectを使用してSSDを認証プロバイダソフトウェアとして選択する
- LDAP サーバーを使用するように /etc/openldap/ldap.conf を構成する
- LDAP サーバーと正しいプレフィックスを使用するように /etc/sssd/sssd.conf を構成します。