[FRsAG] Serveur AAA centralisé avec 2FA pour serveurs Linux

Benoit Mortier benoit.mortier at opensides.be
Jeu 11 Jan 15:13:30 CET 2018


Le 11/01/2018 à 15:00, Alexis Prodhomme a écrit :
> Bonjour tout le monde,
> 
> Nous avons quelques serveurs (~15) sur lesquels nous nous connectons en
> root via SSH avec un mot de passe commun à tous nos serveurs (y'a de
> l'iptables devant ssh quand même).
> Comme root est le seul utilisateur, tout le monde peut tout y faire sans
> que l'on ne sache précisément qui a fait quelle commande.
> C'est clairement limite limite.
> 
> Du coup, je me penchais sur les solutions AAA (Authentication,
> Authorization, Accounting) centralisées mais je nage un peu.
> 
> Notre but final est d'avoir un serveur unique (centralisé) qui gère les
> comptes, les droits de ces comptes et log les commandes que chaque
> compte fait. Le tout uniquement pour les connexions SSH vers nos
> serveurs et avec du 2FA (les petites Yubikeys me font de l'oeil :)).
> Entre Radius, LDAP et Kerberos, j'avoue ne pas savoir quoi choisir.
> Idem pour le 2FA, entre U2F, OTP et tous les autres.
> 
> Et le tout en open-source bien sur.
> 
> Avez-vous des retours d'expérience sur ce genre de chose ? Des conseils,
> articles ou documentations qui peuvent m'aider ?

FusionDirectory https://www.fusiondirectory.org/ va te permettre de
faire ça.

- Gestion utilisateur avec tout ce qui est nécessaire posix, ssh etc ...
- Gestion des machines avec restrictions d’accès via pam
- Modèle utilisateurs si nécessaire pour creer tout les utilisateurs trs
exactement les memes

et plein d’autres choses si nécessaire, le logiciel est compose d'une
base avec beaucoup de plugins suivants tes besoins

n’hésite pas a venir discuter sur irc #freenode fusiondirectory

Bonne après-midi


-- 
Benoit Mortier
CEO
OpenSides "logiciels libres pour entreprises" : http://www.opensides.eu/
Promouvoir et défendre le Logiciel Libre http://www.april.org/
Main developer in FusionDirectory : http://www.fusiondirectory.org/
Official French representative for OPSI : http://opsi.org/

-------------- section suivante --------------
Une pièce jointe autre que texte a été nettoyée...
Nom: signature.asc
Type: application/pgp-signature
Taille: 874 octets
Desc: OpenPGP digital signature
URL: <http://www.frsag.org/pipermail/frsag/attachments/20180111/2b2a5b86/attachment-0001.sig>


Plus d'informations sur la liste de diffusion FRsAG