এসএসএইচ কীগুলির জন্য কেন্দ্রীয় ব্যবস্থাপনার ব্যবস্থা?

27

আমরা এসএসএইচ লগইনগুলির মূল-ভিত্তিক পরিচালনায় স্যুইচ করতে চাইছি এবং অবাক হব যে এমন কোনও কী-পরিচালনা ব্যবস্থা রয়েছে যা আমাদের বিশ্বব্যাপী অ্যাক্সেস কীগুলি পরিচালনা করতে দেয়।

সিস্টেমটি আদর্শভাবে প্রতি ক্লায়েন্ট প্রতি কী সরবরাহ করতে এবং ফ্লাইটে সার্ভার মেশিন কী আপডেট করে, প্রয়োজনে সেগুলি প্রত্যাহার করা উচিত।

বাণিজ্যিক বা উন্মুক্ত উত্স, কেউ কি এই জাতীয় ব্যবস্থা সম্পর্কে জানেন?

দ্রষ্টব্য: স্পষ্ট করতে, আমাদের বেশ বড় পরিমাণে ক্লাউড সার্ভারের (ইসি 2-জাতীয়) এবং কিছু সংখ্যক পরিষেবা ব্যবহারকারীদের জন্য কী পরিচালনা দরকার। আমার ধারণা, নীচের দিকে এলডিএপি + প্যাচ প্রস্তাব দেওয়া যেতে পারে।

ssh  cloud  keys 
SyRenity
সূত্র
7
"প্রাইভেট-কী এবং ক্লাউড" "ড্রিঙ্ক এন্ড ড্রাইভ" এর মতোই কেবল আমিই ভাবি। দুজনেই আলাদা করে মজা করে কিন্তু একসাথে কখনও যায় না।
মেলকিউ
1
"ক্লাউড" সম্ভবত ভুল শব্দ - এটির মতো শোনাচ্ছে যা তারা চায় যা বিশ্বব্যাপী ধারাবাহিকতার সাথে কেন্দ্রিয়ায়িত প্রমাণীকরণ।
voretaq7
হাই। ঠিক - আমরা যা খুঁজছি।
SyRenity
আমি আমার কিছু গ্রাহক সংকর পরিবেশের সাথে এই সমস্যাটির সাথে লড়াই করছি। ওপেনএলডিএপি বা কেন্দ্রীয় উদাহরণটি মেঘ স্থাপনার ক্ষেত্রে কোথায় রাখবেন তা নিয়েও প্রশ্ন রয়েছে? আমি কী পরিচালনার সরঞ্জাম হিসাবে সমস্ত কিছুর ওয়েবমিন এবং নোডগুলিতে কী সিঙ্ক করার জন্য একটি শেফ কুকবুক ব্যবহার করছি।
টম এইচ
ইউটিরিফাই আপনি যা খুঁজছেন তা কভার করেছে (দেখুন সার্ভারফল্ট / প্রশ্নগুলি / 77647777৯97/২ )
জ্যামিসন বেকার

উত্তর:

8

এটি করার প্রচুর উপায় রয়েছে। এলডিএপি কী স্টোরেজটি কয়েকবার উল্লেখ করা হয়েছে, এবং আমি এটি করেছি এবং এটি কাজ করে, যতদূর যায়। এলডিএপি এর নিজস্ব পরিচালিত কৌতূহল রয়েছে, যা কিছু শেখার দরকার take

আমি সরল, শক্তিশালী সার্ভারের একটি বড় অনুরাগী যার প্রশাসনিকদের প্রমাণীকরণের মতো সহজ জিনিসের জন্য ন্যূনতম বাহ্যিক নেটওয়ার্কের নির্ভরতা রয়েছে, তাই আমি আরও শক্তিশালী এসএসএইচ কী বিতরণ কৌশলটির দিকে ঝুঁকছি - আমার কনফিগারেশন ম্যানেজমেন্ট সিস্টেমটি এটির যত্ন নিতে হবে। প্রত্যেকের পাবলিক কীটি কনফিগারেশন ম্যানেজমেন্ট সিস্টেমে রাখা হয় এবং যেখানেই ব্যক্তির লগইন করতে সক্ষম হওয়া দরকার সেখানে তাদের কী যুক্ত করা হয়। কনফিগারেশন সিস্টেমটি নির্দিষ্ট করে না এমন কীগুলি অপসারণ করতেও জানে, সুতরাং যখন কেউ ছেড়ে যায় বা তার কী পরিবর্তন হয়, কী কনফিগারেশনটি সরিয়ে ফেলার একটি সহজ বিষয় এবং পরবর্তী কনফিগারেশন সিস্টেম চালানোর সময় কীটি সরিয়ে ফেলা হয়।

বোকা
সূত্র
এই পদ্ধতিরটি অবশ্যই একটি ভাল, এবং ওম্বলে উল্লেখ করেছেন যে এলডিএপি ডাউন ইভেন্টটি থাকা অবস্থায় সার্ভারগুলি চালু থাকবে এবং চালিত হবে (এবং অ্যাক্সেসযোগ্য) - প্রতিটি এলডিএপি-ব্যাকড সিস্টেমের উচিত (আমি বলতে সাহস করি ) এ থাকা উচিত কমপক্ষে একজন ব্যবহারকারী যার চাবি ওম্বল বর্ণনা করার মতোভাবে ঠেলাঠেলি করে। ক্ষয়ক্ষতিটি হ'ল ব্যবহারকারীদের ডি-অথরাইজ করার জন্য আপনাকে একটি কনফিগার রান করতে হবে। কেবলমাত্র কয়েকটি অনুমোদিত ব্যবহারকারীদের সাথে "জরুরি অ্যাকাউন্ট" এর জন্য সমস্যা নয় Not বিপুল সংখ্যক অ্যাকাউন্টের জন্য বড় সমস্যা :)
voretaq7
1
আপনার পক্ষে জনসাধারণের কনফিগারেশনটি যেভাবেই চলতে পারে তাড়িত করার উপায় থাকতে হবে, সুতরাং অ্যাকাউন্ট পরিবর্তনের জন্য এটি করা বড় বিষয় হবে না।
দোলা
আমি সম্মত হই, দুর্ভাগ্যক্রমে ব্যবসায়ের প্রয়োজন / মানসিকতা তা করে না: বহু জায়গায় প্যারানোইয়া (আমার অন্তর্ভুক্ত) নির্দেশ দেয় যে কনফিগারেশনটি অফ-ঘন্টা চলাকালীন ঘটে তবে নতুন কর্মী / কর্মী রেখে যে কোনও সময় ঘটতে পারে: - /
ভোরেটাক
1
সুতরাং আপনি দিনের বেলা কোনও কনফিগার পুশ চালাতে না পারার কারণে আপনি কোনও ব্যবসায়ের দিনের জন্য জিনিস ভাঙা ছেড়ে খুশি? এটি সাধারণ কারণ, এর অর্থ এটি বোকা নয়।
দোলা
2
হাই। সুতরাং একটি ভাল ধারণা উদাহরণস্বরূপ এর জন্য পুতুল ব্যবহার করবে?
SyRenity
23

কী জোড়গুলি ব্যবহারকারীর দ্বারা উত্পন্ন করা উচিত।

ব্যবহারকারী ব্যক্তিগত অর্ধেক ধরে রাখে - আপনার এটি কখনও দেখা উচিত নয়। আপনার যদি এমন ফর্মের কারও ব্যক্তিগত কী থাকে যেখানে আপনি এটি পড়তে / ব্যবহার করতে পারেন আপনি সুরক্ষাটি ভুল করছেন।

জনসাধারণের অর্ধেকটি আপনাকে দেওয়া হয়েছে (আপনি যে কোনও পদ্ধতির দ্বারা চান: ওয়েব ফর্ম, ইমেল, আমাকে একটি অন-সিডি দিন) আপনি চান তবে কেন্দ্রীভূত হতে হবে। কিছু জায়গায় LDAP- এ পাবলিক কী সঞ্চয় করে। অন্যরা authorized_keysতাদের মোতায়েনের সিস্টেমটি ব্যবহার করে ফাইলগুলি চাপিয়ে দেয় ।

আমার পরিবেশে যারা শেল অ্যাক্সেসের প্রয়োজন তাদের আমাকে তাদের পাবলিক কীগুলি দিন। এই কীগুলি আমাদের এলডিএপি সিস্টেমে যুক্ত করা হয় এবং sshdপ্রতিটি ব্যবহারকারীকে তাদের প্রমাণীকরণের জন্য তালিকাভুক্ত পাবলিক কী (গুলি) এর পরামর্শ নেয়, এলডিএপি পাবলিক কী প্যাচের মাধ্যমে
যখন কারও অতিরিক্ত কী যুক্ত করা বা বিদ্যমান কীটি প্রত্যাহার করা দরকার তখন তারা কোনও প্রশাসককে জানিয়ে দেয় এবং আমরা এটি যত্ন নিই। অবশেষে যখন আমরা স্কেল করব আমি এমন একটি সিস্টেম প্রয়োগ করব যা লোককে তাদের নিজস্ব পাবলিক কীগুলি ঘোরানোর সুযোগ দেয়।

আমাদের প্রতিটি সাইটের কাছে একজোড়া এলডিএপি সার্ভার রয়েছে, যা আমাদের মাষ্টারের সাথে এলডিএপি প্রতিরূপের সাথে সিঙ্ক্রোনাইজ হয়, যা প্রতিটি স্থানে ডেটা সামঞ্জস্যপূর্ণ (এবং অ্যাক্সেসযোগ্য) রাখে।

আমি বর্ণিত সমস্ত কিছুই ওপেন সোর্স সফ্টওয়্যার দিয়ে করা যেতে পারে। বাণিজ্যিক পণ্যও রয়েছে যা একই কাজ করে।
আপনার উপলভ্য বিকল্পগুলি আরও নিখুঁতভাবে গবেষণা করতে হবে এবং কোনটি (গুলি) আপনার পরিবেশের পক্ষে সবচেয়ে উপযুক্ত তা স্থির করতে হবে। আপনার যদি আরও (আরও নির্দিষ্ট) প্রশ্ন থাকে তবে আমরা সম্ভবত আরও সহায়ক হতে পারি more

voretaq7
সূত্র
সুতরাং মূলত, আপনি এলডিএপি অবকাঠামো, প্যাচড ওপেনএসএসএইচ ব্যবহারের পরামর্শ দিচ্ছেন যা এলডিএপের সাথে কাজ করবে? উত্পাদনে এই দাঁড়িপাল্লা কতটা ভাল? এটি কি প্রচুর পরিমাণে মেশিনকে সমর্থন করতে পারে? আমাদের কেবলমাত্র অল্প পরিমাণ পরিষেবা ব্যবহারকারীদের সমর্থন করা দরকার।
SyRenity
1
@ সাইনারিটি: এলডিএপি প্রতিলিপি এবং ক্লাস্টারিকে সমর্থন করে যাতে এটি খুব ভালভাবে স্কেল করে
হুবার্ট কারিও
@ স্যুরনেটি তাত্ত্বিকভাবে আপনি সীমাহীন সংখ্যক স্থানে সীমাহীন সংখ্যক মেশিনকে সমর্থন করতে পারেন (মনে করুন "সত্যই বড় অ্যাক্টিভ ডিরেক্টরি পরিচালক" - এডি মূলত কিছু ফ্যাশনেবল আনুষাঙ্গিক সহ এলডিএপি)) পরিষেবা ব্যবহারকারীদের জন্য আমার পরামর্শ হ'ল আপনার পরিবেশ জুড়ে এগুলি মানক করা /etc/passwdএবং /etc/group
মানকযুক্ত
@ ভোরেটাক Meaning অর্থ সার্ভিস ব্যবহারকারীরা কনফিগারেশন ম্যানেজমেন্টের মাধ্যমে এলডিএপি থেকে আলাদাভাবে পরিচালিত হবে?
SyRenity
@ সাইনারিটি হ্যাঁ - এবং আরও গুরুত্বপূর্ণভাবে সেগুলির জন্য উপলব্ধ যেগুলি এলডিএপি বন্ধ থাকলে সেগুলি ব্যবহার করে । ব্যর্থতার জন্য পরিকল্পনা করুন বা আপনি বিপর্যয়ের সম্মুখীন হবেন।
voretaq7
9

কিপায়ারগুলি অন্য কোথাও নয় বরং প্রতিটি ব্যবহারকারীর কম্পিউটারে উত্পন্ন করা উচিত। প্রাইভেট কীগুলির কোনও কারণ হিসাবে নামকরণ করা হয়েছে।

এটি বলেছিল, আমি ব্যবহারকারীর পাবলিক কীগুলির একধরণের সেন্ট্রালাইজড ভান্ডারগুলির জন্য ব্যবহারের কেসটি দেখতে পাচ্ছি। ওপেনএলডিএপে পাবলিক কীগুলি সংরক্ষণ করার একটি বিকল্প হ'ল - ওপেনএসএসএইচের সাম্প্রতিক সংস্করণগুলি এলডিএপি থেকে কীগুলি পড়তে পারে।

EEAA
সূত্র
2
ওপেনডিএসএইচ-এ এখন লাইনডপ পাবলিক কী স্টাফগুলি রয়েছে? আমি কেবল এলপিকে প্যাচ সম্পর্কে জানি (যা আমি প্রমাণ করতে পারি - এটি দুর্দান্ত কাজ করে)। এছাড়াও ব্যক্তিগত কীগুলি ব্যক্তিগত রাখার জন্য +1 করুন।
voretaq7
@ ভোরেটাক 7 আমি অনুমান করেছি যে আমি শুনেছি এটি মূল লাইনে মিশে গেছে, তবে আমি এখনও এটি যাচাই করি নি। আমরা এনএফএসের মাধ্যমে ভাগ করা হোম ডিরেক্টরিগুলি করি, যাতে এটি আমাদের জন্য আমাদের মূল বিতরণ যত্ন নেয়।
ইইএএ
+1 ভাল আমি এটি জানতাম না। এটা আমার একগুচ্ছ ঝামেলা বাঁচাতে পারে। আমার তালিকায় থাকা বিষয়গুলির তালিকায় এখন তা রয়েছে।
টম এইচ
1

আমি জানি এটি একটি সামান্য পুরানো প্রশ্ন, তবে গুগল এই ধরণের জিনিসটি সন্ধান করার সময় এটি বেশ উচ্চতর ফিরিয়ে দেয়।

আমরা যারা এলডিএপি বাদে সমাধানের সন্ধান করছি তাদের জন্য আমি সবেমাত্র "এসকেএম" প্রকল্পটি পেয়েছি: https://sites.google.com/site/jeromeboismartel/code-s-corner/ssh-key-management-with-skimp

fukawi2
সূত্র
1

প্রচুর দুর্দান্ত বাণিজ্যিক ও ওপেন সোর্স সমাধান রয়েছে যেমন ইউটিরিফাই [১] (যেখানে আমি কাজ করি), ইউনিভার্সাল কী ম্যানেজার [২], এসএসএইচ কী বক্স [৩] ইত্যাদি। এটি আপনার প্রয়োজনগুলি এবং আপনি যদি হন তবে তার উপর নির্ভর করে অপারেশনকে বিকেন্দ্রীকরণ করার সময় ম্যানেজমেন্টকে কেন্দ্রীভূত করে এমন কোনও কিছু খুঁজছেন (যাতে আপনার সার্ভারগুলি লগ ইন করার জন্য কোনও কেন্দ্রীয় কর্তৃপক্ষের উপর নির্ভর না করে ... সেক্ষেত্রে আপনি আপনার কোনও সার্ভারে লগইন করতে পারবেন না, যদি বলেন, আপনার এলডিএপি সার্ভার ডাউন!)

  1. https://userify.com

  2. https://www.ssh.com/products/universal-ssh-key-manager/

  3. https://www.sshkeybox.com

এই অপমানজনক আলোচনাটিও দেখুন:

https://www.slant.co/topics/8010/~managers-for-ssh-keys

জেমিসন বেকার
সূত্র
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.