우리 조직에는 Linux 서버의 개인 네트워크가 있습니다. 이 네트워크는 인터넷과 분리되어 있으며 네트워크와 서버에 대한 개인 액세스가 제한되어 있습니다.
각 서버에는 표준 사용자 로그인과 루트 사용자 로그인이 있습니다. 저희 매장에서는 범용 로그인 ID와 비밀번호를 할당하고 있습니다. 예를 들어:
- 표준 사용자 로그인 이름 =
foo
, 비밀번호 =bar
- 루트 사용자 로그인 이름 =
super
, 비밀번호 =user
foo
당사의 모든 프로그램에는 super
관련 비밀번호로 로그인해야 합니다.
추적성의 이유로 각 인증된 사용자가 고유한 표준 사용자 로그인을 가지도록 수정하고 싶지만 기본 비밀번호를 계속 사용합니다. 루트 수준 액세스 로그인은 변경되지 않을 것으로 예상됩니다.
예를 들어, 내가 사용자라면 foo93
우리 서버 중 하나를 사용하고 로그인할 수 있습니다. 다른 사용자는 다음 계정으로 로그인할 수 있습니다.foo93
bar
foo29
나는 다음과 같은 것을 상상합니다.
serverX
다음으로 로그인foo93
serverX
foo93
중앙 서버에서 유효한 사용자인지 확인하세요.- 중앙 서버는 예 또는 아니오로 응답합니다.
- 그렇다면 표준 수준 액세스 권한을 부여하세요
serverX
.
이것이 가능한가? 어떻게? 누군가 나에게 어디를 봐야 할지 알려준다면 나는 따라갈 수 있다.
CLI에서 기본적인 작업을 수행할 수 있지만 어디서부터 답을 찾아야 할지 모르겠습니다. 액세스 또는 비밀번호 제어에 대한 정보를 Google에서 검색했습니다. 흥미로운 결과를 얻었습니다. IMO에서는 이 문제에 적용되지 않습니다.
답변1
루트 수준 액세스 로그인은 변경되지 않을 것으로 예상됩니다.
이것은 확실히 선택 사항이 아닙니다. 무슨 일이 일어났는지 추적하고 개인 사용자로 로그인하려는 사람이 실수를 하거나 장난을 치는 이유는 무엇입니까? 그렇지 않습니다. 추적해야 할 중요한 작업은 루트에서 수행됩니다. 익명의 루트를 갖는 것은 무책임합니다.
솔직히 루트 액세스를 비활성화하겠습니다.모든 사람. 직접 로그인할 수 있는 권한 있는 사용자가 없습니다(또는 루트 비밀번호가 매우 길고 사무실 드라이브에 있고 관리자만이 암호 해독 키를 알고 있습니다). 루트로 작업을 완료해야 하는 경우 sudo
액세스를 중앙 집중화하고 기록하세요. 이것은 꽤 표준적인 정책입니다!
foo93으로 serverX에 로그인합니다. serverX는 foo93이 유효한 사용자인지 확인하기 위해 중앙 서버를 확인합니다. 중앙 서버는 "예" 또는 "아니오"로 응답합니다. 그렇다면, serverX에 표준 수준 액세스 권한을 부여합니다. 나
이는 표준 솔루션처럼 들립니다. PAM을 중앙 집중화합니다.신원 관리. 이러한 상황이 존재합니다. Windows 세계에서는 이를 "Active Directory"라고 합니다(실제로 Active Directory 도메인 컨트롤러에 대해 인증할 수 있음). Linux 환경의 경우 소규모 설정에서는 Linux 로그인 외에는 Single Sign-On이 필요하지 않습니다. 특히 플러그인을 통해 로그인에 SSSD를 사용하도록 클라이언트를 구성합니다 ldap
. 이를 위해서는 중앙 서버의 인증이 필요합니다. 또한 누군가가 처음으로 컴퓨터에 로그온할 때 디렉터리를 만드는 등의 작업도 수행할 수 있습니다.
와 같은 것을 검색하면 distroname SSSD LDAP guide
대략적인 아이디어는 다음과 같습니다.
내부 도메인의 이름을 선택하세요. "airgappednet" 등.
하나의 머신을 중앙 ID 서버로 지정합니다(일반적으로 이를 위해 가상 머신을 사용합니다. 단순히 스냅샷을 찍어 백업 머신으로 마이그레이션할 수 있기를 원하기 때문입니다. 그렇지 않으면 단일 실패 지점이 생성됩니다. 또한 , 가스 에어 갭이 있으므로 인터넷이 있을 때 VM을 설정한 다음 VM 이미지를 드라이브에 복사하고 에어 갭을 통해 전송한 다음 비밀을 설정하는 것이 더 쉽습니다)
- 오픈LDAP를 설치합니다.
- 인증 서버와의 암호화된 통신을 위해 해당 서버 VM(이를 위해 자체 서명된 SSL 인증서가 필요함)에 Slapd를 설정합니다(동일한 에어갭 네트워크 내에서도 비밀번호가 관련되어 있는 경우 절대 암호화하지 마십시오).
- 사용자를 LDAP 데이터베이스에 추가하면 도메인이
dc
접두사의 일부가 됩니다.
LDAP를 사용하여 사용자를 인증하도록 클라이언트 구성
- sssd, sssd-ldap 및 ldap 클라이언트 설치
- auselect를 사용하여 SSD를 인증 공급자 소프트웨어로 선택
- LDAP 서버를 사용하도록 /etc/openldap/ldap.conf 구성
- LDAP 서버와 올바른 접두사를 사용하도록 /etc/sssd/sssd.conf를 구성합니다.