IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Administration système Discussion :

centralisation clefs ssh


Sujet :

Administration système

Vue hybride

Message précédent Message précédent   Message suivant Message suivant
  1. #1
    Membre actif
    Profil pro
    Inscrit en
    Juin 2007
    Messages
    14
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Juin 2007
    Messages : 14
    Par défaut centralisation clefs ssh
    Bonjour,

    Je cherche une solution pour centraliser la gestion des clefs ssh:

    Un utilisateur à le droit de se logguer à plusieurs serveurs en ssh, le problème est que l'on aimerait ne pas avoir à déposer la clef publique de l'utilisateur sur chacun des serveurs.

    J'ai pensé à une solution:
    L'utilisateur veut se connecter en ssh au serveur B
    La clef de l'utilisateur a été déposée sur le serveur A.
    Le serveur A a le droit de se connecter au serveur B (clef sans passphrase)
    (Je me sers du serveur A comme serveur de rebond et je gère donc les clefs utilisateurs que sur ce serveur)

    Avec putty, je lance une connection sur le serveur A, qui lui lance une connection sur le serveur B.
    Pour l'instant tout va bien.

    Le problème est que j'avais pensé déposer la clef publique du serveur A sur tous les serveurs. Mais cela implique que l'on ne pourra pas maitriser l'accès de l'utilisateur aux serveurs:
    Une fois que l'utilisateur sera connecté au serveur A, il aura accès à tous les serveurs..

    Je cherche donc une solution pour gérer l'accès des utilisateurs sur certains serveurs mais je ne sais pas comment y parvenir.

    Existe-t-il une autre solution de centralisation des clefs SSH?

    Je vous remercie d'avance pour vos réponses.

    Simounth

  2. #2
    Expert confirmé Avatar de frp31
    Homme Profil pro
    Ingénieur systèmes et réseaux
    Inscrit en
    Juillet 2006
    Messages
    5 196
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 48
    Localisation : France, Haute Garonne (Midi Pyrénées)

    Informations professionnelles :
    Activité : Ingénieur systèmes et réseaux
    Secteur : Aéronautique - Marine - Espace - Armement

    Informations forums :
    Inscription : Juillet 2006
    Messages : 5 196
    Par défaut
    pour des raisons évidentes, tout centralisation de clefs est stupide si on a besoin d'un niveau normal de sécurité.

    le plus simple si on veut pas utiliser de système de clefs, est la connexion par password.

  3. #3
    Membre émérite
    Profil pro
    Inscrit en
    Août 2008
    Messages
    505
    Détails du profil
    Informations personnelles :
    Localisation : France, Puy de Dôme (Auvergne)

    Informations forums :
    Inscription : Août 2008
    Messages : 505
    Par défaut
    Il existe un mécanisme utilisant le ldap pour faire la distribution des clés.

  4. #4
    Modérateur
    Avatar de gangsoleil
    Homme Profil pro
    Manager / Cyber Sécurité
    Inscrit en
    Mai 2004
    Messages
    10 150
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Haute Savoie (Rhône Alpes)

    Informations professionnelles :
    Activité : Manager / Cyber Sécurité

    Informations forums :
    Inscription : Mai 2004
    Messages : 10 150
    Par défaut
    Bonjour,

    Ce que tu cherches a faire, ca s'appelle du Single Sign On (SSO) avec de la gestion de droits.

    Sinon, peux-tu expliquer pourquoi tu ne veux pas deposer la clef publique de l'utilisateur sur les serveurs sur lesquels il a le droit de se connecter ?

    Si je te pose cette question, c'est parce que, en imaginant que tu mettes un serveur de rebond avec authentification, qu'est-ce qui empeche un utilisateur de mettre sa clef publique sur les serveurs une fois la premiere connexion etablie, lui permettant ainsi de ne plus passer par ton serveur central ?
    "La route est longue, mais le chemin est libre" -- https://framasoft.org/
    Les règles du forum

  5. #5
    Membre à l'essai
    Homme Profil pro
    Architecte de système d'information
    Inscrit en
    Juin 2011
    Messages
    6
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Architecte de système d'information

    Informations forums :
    Inscription : Juin 2011
    Messages : 6
    Par défaut
    Je dirais que la solution passe A LA FOIS par le serveur de rebond (ou bastion selon certains) ET aussi par la mise en place de TCP WRAPPERS. Comme ça, seul le serveur de rebond sera autorisé à entrer par le port SSH (22 ou - pk. pas - un autre)

Discussions similaires

  1. Connexion par clef SSH
    Par Sephiroth Lune dans le forum Administration système
    Réponses: 0
    Dernier message: 16/11/2014, 11h28
  2. Problème avec clef SSH
    Par extensite dans le forum GIT
    Réponses: 1
    Dernier message: 16/07/2012, 10h26
  3. Réponses: 0
    Dernier message: 12/07/2011, 09h37
  4. Problème clefs SSH
    Par Nitral dans le forum Réseau
    Réponses: 2
    Dernier message: 28/04/2010, 11h39
  5. Connexion SSH avec clefs privée/publique
    Par NikoBe dans le forum Eclipse Java
    Réponses: 7
    Dernier message: 12/06/2007, 20h50

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo