SSH-PubKey Verwaltung / Verteilung

[elcavolo]

Hi @all,

ihr kennt das bestimmt auch, man hat unzählige Linux-Systeme auf denen überall SSH-PubKeys herumfahren. Mit der Zeit verliert man den Überblick, beim Hinzufügen und Entfernen ist das jedes mal eine schwere Geburt.

Wie hab Ihr das Problem gelöst? Wie verwaltet Ihr eure Pub-Keys? Hab Ihr ein eigen Entwickeltes Tool oder ein Prog im Einsatz?

Ich suche nach einer Möglichkeit wie man unsere Pub-Keys von einer zentralen Stelle verteilen und verwalten kann.

Ich bin mal auf Eure Antworten gespannt.

[Crash2001]

Du könntest sie einfach in einer Datenbank sichern, oder aber in entsprechende Verzeichnisse ablegen.

[elcavolo]

Du könntest sie einfach in einer Datenbank sichern, oder aber in entsprechende Verzeichnisse ablegen.

Das entlastet mich aber nicht bei meiner Arbeit. Wenn ich die Keys in einer Datenbank / Verzeichnis habe, dann muss ich trotzdem beim Abgang eines Mitarbeiters von System zu System rennen und schauen ob da ein Key von Ihm liegt und diesen Händisch entfernen.

Ich suche eher nach einer Komplett Lösung ala LDAP, meines Wissens nach kann man mit LDAP keine SSH-Pub-Keys verwalten. Deswegen auch die frage, wie habt ihr das Prob gelöst?

[geloescht_JesterDay]

Nur mal als Idee: Du speicherst die Keys in einer DB und hast auf jedem Rechner ein Script, welches die Keys aus der DB liest und in die authorized_keys schreibt. Wenn ein Mitarbeiter geht wird der aus der DB gelöscht und auf allen Rechner das Script angestoßen. Das kann man noch erweitern mit einer Tabelle wo für jeden Rechner die Mitarbeiter drinstehen die berechtig sind.

[elcavolo]

genau sowas suche ich. gibt es sowas schon als Fertiges Skript / Tool?

Ich möchte das Rad nicht neu erfinden. Ich mein, dass Prob dürfte doch viele Admins beschäftigen?!

[Crash2001]

Also wenn es darum geht, dass keine Keys von nicht mehr beschäftigten Angestellten mehr nutzbar sind, dann sind die SSH-Keys ja lange nicht das einzige was auf dem Server liegt. Wird der User und sein Profil gelöscht, sind die Keys doch mit weg, weil die Datei "authorized_keys" ja normalerweise im ssh-Verzeichnis in seinem Home-Verzeichnis liegt.

Das könnte man natürlich noch mit LDAP abgleichen, dass keine Homeverzeichnisse für User existieren, die LDAP oder in einer anderen Datenbank nicht vorhanden sind.

Wenn die Keys natürlich auch auf die entsprechenden Maschinen verteilt werden sollen, ist die Frage, ob alle User auf alle Maschinen Zugriff haben sollen, oder ob da nochmal differenziert wird und man das in Gruppen einteilen kann. Dann könnte man den Key aus der Datenbank auf den Maschinen importieren (und den User auch automatisch darauf anlegen), auf den dieser Zugriff haben soll.

Bearbeitet 4. Juni 2008 von Crash2001

[geloescht_JesterDay]

Wird der User und sein Profil gelöscht, sind die Keys doch mit weg, weil die Datei "authorized_keys" ja normalerweise im ssh-Verzeichnis in seinem Home-Verzeichnis liegt.

Es geht aber auch, dass ein default-user alle Mitarbeiter keys in seiner authorized_keys hat. Je nach Szenario ist das auch eher der wahrscheinlichere Fall.

Ich hab gerade mal kurz gesucht, hier 2 Treffer:

Daniel’s Blog. » SSH + LDAP Public Key (LPK)

The LDAP Public Key patch for ssh allows you to set up a Public Key Infrastructure (PKI) using LDAP. It consists of an ldap schema and a diff against openssh, which inserts an LDAP lookup for the public key into the authentication path.

Recipes/Authorized_keys - puppet - Trac

[elcavolo]

Die LDAP Geschichte ist ganz Interessant, aber dafür muss man den LDAP-Patchen und das finde ich nicht so toll.

Da hört sich das Tool "puppet" schon besser an. Hat das jemand schon getestet bzw. schon im Einsatz?