centralisation clefs ssh

simounth · 31/05/2011, 14h34

Bonjour,

Je cherche une solution pour centraliser la gestion des clefs ssh:

Un utilisateur à le droit de se logguer à plusieurs serveurs en ssh, le problème est que l'on aimerait ne pas avoir à déposer la clef publique de l'utilisateur sur chacun des serveurs.

J'ai pensé à une solution:
L'utilisateur veut se connecter en ssh au serveur B
La clef de l'utilisateur a été déposée sur le serveur A.
Le serveur A a le droit de se connecter au serveur B (clef sans passphrase)
(Je me sers du serveur A comme serveur de rebond et je gère donc les clefs utilisateurs que sur ce serveur)

Avec putty, je lance une connection sur le serveur A, qui lui lance une connection sur le serveur B.
Pour l'instant tout va bien.

Le problème est que j'avais pensé déposer la clef publique du serveur A sur tous les serveurs. Mais cela implique que l'on ne pourra pas maitriser l'accès de l'utilisateur aux serveurs:
Une fois que l'utilisateur sera connecté au serveur A, il aura accès à tous les serveurs..

Je cherche donc une solution pour gérer l'accès des utilisateurs sur certains serveurs mais je ne sais pas comment y parvenir.

Existe-t-il une autre solution de centralisation des clefs SSH?

Je vous remercie d'avance pour vos réponses.

Simounth

frp31 · 31/05/2011, 18h27

pour des raisons évidentes, tout centralisation de clefs est stupide si on a besoin d'un niveau normal de sécurité.

le plus simple si on veut pas utiliser de système de clefs, est la connexion par password.

thierry.chich · 31/05/2011, 21h01

Il existe un mécanisme utilisant le ldap pour faire la distribution des clés.

gangsoleil · 01/06/2011, 10h48

Bonjour,

Ce que tu cherches a faire, ca s'appelle du Single Sign On (SSO) avec de la gestion de droits.

Sinon, peux-tu expliquer pourquoi tu ne veux pas deposer la clef publique de l'utilisateur sur les serveurs sur lesquels il a le droit de se connecter ?

Si je te pose cette question, c'est parce que, en imaginant que tu mettes un serveur de rebond avec authentification, qu'est-ce qui empeche un utilisateur de mettre sa clef publique sur les serveurs une fois la premiere connexion etablie, lui permettant ainsi de ne plus passer par ton serveur central ?

hercaud · 03/06/2011, 13h42

Je dirais que la solution passe A LA FOIS par le serveur de rebond (ou bastion selon certains) ET aussi par la mise en place de TCP WRAPPERS. Comme ça, seul le serveur de rebond sera autorisé à entrer par le port SSH (22 ou - pk. pas - un autre)

31/05/2011, 14h34	#1
simounth Invité de passage Inscription : juin 2007 Messages : 14 Détails du profil Informations forums : Inscription : juin 2007 Messages : 14 Points : 0 Points : 0	centralisation clefs ssh Bonjour, Je cherche une solution pour centraliser la gestion des clefs ssh: Un utilisateur à le droit de se logguer à plusieurs serveurs en ssh, le problème est que l'on aimerait ne pas avoir à déposer la clef publique de l'utilisateur sur chacun des serveurs. J'ai pensé à une solution: L'utilisateur veut se connecter en ssh au serveur B La clef de l'utilisateur a été déposée sur le serveur A. Le serveur A a le droit de se connecter au serveur B (clef sans passphrase) (Je me sers du serveur A comme serveur de rebond et je gère donc les clefs utilisateurs que sur ce serveur) Avec putty, je lance une connection sur le serveur A, qui lui lance une connection sur le serveur B. Pour l'instant tout va bien. Le problème est que j'avais pensé déposer la clef publique du serveur A sur tous les serveurs. Mais cela implique que l'on ne pourra pas maitriser l'accès de l'utilisateur aux serveurs: Une fois que l'utilisateur sera connecté au serveur A, il aura accès à tous les serveurs.. Je cherche donc une solution pour gérer l'accès des utilisateurs sur certains serveurs mais je ne sais pas comment y parvenir. Existe-t-il une autre solution de centralisation des clefs SSH? Je vous remercie d'avance pour vos réponses. Simounth
	02

31/05/2011, 18h27	#2
frp31 Expert Confirmé Sénior francois Ingénieur systèmes et réseaux Inscription : juillet 2006 Messages : 3 534 Détails du profil Informations personnelles : Nom : francois Âge : 35 Localisation : France, Haute Garonne (Midi Pyrénées) Informations professionnelles : Activité : Ingénieur systèmes et réseaux Secteur : Aéronautique - Marine - Espace - Armement Informations forums : Inscription : juillet 2006 Messages : 3 534 Points : 7 743 Points : 7 743	pour des raisons évidentes, tout centralisation de clefs est stupide si on a besoin d'un niveau normal de sécurité. le plus simple si on veut pas utiliser de système de clefs, est la connexion par password. __________________ Communauté OpenBSD francophone Communauté de collectionneur d'ordinateurs antiques
	10

01/06/2011, 10h48	#4
gangsoleil Modérateur R&D en systemes informatiques bas niveau Unix/Linux Inscription : mai 2004 Messages : 5 464 Détails du profil Informations personnelles : Âge : 31 Localisation : France, Isère (Rhône Alpes) Informations professionnelles : Activité : R&D en systemes informatiques bas niveau Unix/Linux Informations forums : Inscription : mai 2004 Messages : 5 464 Points : 9 585 Points : 9 585	Bonjour, Ce que tu cherches a faire, ca s'appelle du Single Sign On (SSO) avec de la gestion de droits. Sinon, peux-tu expliquer pourquoi tu ne veux pas deposer la clef publique de l'utilisateur sur les serveurs sur lesquels il a le droit de se connecter ? Si je te pose cette question, c'est parce que, en imaginant que tu mettes un serveur de rebond avec authentification, qu'est-ce qui empeche un utilisateur de mettre sa clef publique sur les serveurs une fois la premiere connexion etablie, lui permettant ainsi de ne plus passer par ton serveur central ? __________________ Modérateur "C", "Informatique Générale & Hardware" et "Unix" Les règles du forum
	20

03/06/2011, 13h42	#5
hercaud Invité de passage Lucien Hercaud Architecte de système d'information Inscription : juin 2011 Messages : 6 Détails du profil Informations personnelles : Nom : Lucien Hercaud Localisation : France Informations professionnelles : Activité : Architecte de système d'information Informations forums : Inscription : juin 2011 Messages : 6 Points : 2 Points : 2	Je dirais que la solution passe A LA FOIS par le serveur de rebond (ou bastion selon certains) ET aussi par la mise en place de TCP WRAPPERS. Comme ça, seul le serveur de rebond sera autorisé à entrer par le port SSH (22 ou - pk. pas - un autre)
	00

31/05/2011, 21h01	#3
thierry.chich Membre expérimenté Inscription : août 2008 Messages : 455 Détails du profil Informations personnelles : Localisation : France, Puy de Dôme (Auvergne) Informations forums : Inscription : août 2008 Messages : 455 Points : 575 Points : 575	Il existe un mécanisme utilisant le ldap pour faire la distribution des clés.
	01

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email