Odbieranie uprawnień zwolnionym pracownikom
Cześć Wam,
zastanawiam się nad pewnym problemem związanym z odbieraniem uprawnień.
Załóżmy, że operuję kilkunastoma maszynami wirtualnymi na serwerze, każda z nich to osobna instancja danego systemu, np. linuxa. Hasła do SSH do każdej z maszyn są w kontenerze KeePass’a i programiści mogą dzielnie pracować i korzystają z tego współdzielonego KeePass’a. Problem pojawia się co w przypadku gdy taki jeden członek zespołu chciałby odejść z pracy. Podstawą w takim wypadku jest odebranie uprawnień takiej osobie i jak z resztą systemów nie ma problemu, bo każdy pracuje na swoim koncie, to jak można rozwiązać w szybki sposób odebranie uprawnień do łączenia się z serwerami ? Trzeba na każdej maszynie mozolnie zmieniać hasła (a co jeśli będzie ich ponad 100?) do SSH, potem aktualizować keepassa czy da się to w lepszy sposób (myśląc już o przyszłości) rozwiązać ?
Z góry dzięki za pomoc 🙂
7 Odpowiedzi
Zostaw odpowiedź
Musisz się zalogować lub zarejestrować aby dodać nowy odpowiedź.
Cześć,
Dobrym rozwiazaniem jest FreeIPA, czyli taki LDAP na sterydach bo potrafi przechowywać klucze publiczne użytkowników. Klucze SSH pracowników leżą na FreeIPA, a każdy serwer do którego uzytkownik chce się podłączyć po SSH „odpytuje” FreeIPA’ę o to czy pozwolić na połączenie, a jesli tak to dostaje klucz publiczny tego użytkownika. Potem normalnie zestawia połączenie.
Plusem tego rozwiązania jest to, że jak pracownik odchodzi to blokujesz/kasujesz jego konto na FreeIPA i nie ma dostępu do żadnego serwera, który korzysta z uwieżytelnienia poprzez FreeIPA.
Jesli teraz masz kilkanaście serwerów to jest to dobra okazja do przetestowania jak to działa… jak bedziesz miał setki serwerów to docenisz to rozwiązanie.
https://www.freeipa.org/images/d/d2/Freeipa30_SSH_Public_Keys.pdf
FreeIPA jest darmowa – GPL i stoi za tym Red Hat 🙂
Radius/Tacacs+. Konta włącznie z uprawnieniami możemy zakładać per serwer, czy per grupa serwerów – i wystarczy założyć je raz – na radiusie/tacacsie. W dowolnym momencie możemy modyfikować zakres uprawnień danego użytkownika, włącznie z usunięciem go. Wspomniane serwery oczywiście wymagają konfiguracji klientów (czyli w tym wypadku serwerów na których użytkownicy mają mieć dostęp) – ale robisz to raz i zapominasz.
przyjrzyj się rozwiązaniu https://puppet.com/. Powinno to rozwiązać twój problem
Cześć.
U mnie zwalniany pracownik przychodzi z obiegówką. Zdaje sprzęt, który sprawdzam. Oddaje wyposażenie jeśli było. Dyskietkę. Podpisuję obiegówkę jeśli wszystko ok. Następnie blokuję konto na domenie, serwerze pocztowym, zmieniam hasła i blokuję wszelkie wejścia do budynków i rejestracje w systemach RCP i dostępu do pomieszczeń. I to wszystko. Zabezpieczenie danych danego pracownika, poczty itp. rzeczy to już inna bajka. Wszystko do ogarnięcia. Nawet po latach mogę odtworzyć co robił, wysyłał jeśli ktoś zażąda takie dane a sprzęt komputerowy czyszczę i przygotowuję dla następnego użytkownika.
Hej
U mnie w pracy było robione tak że komputer pracownika miał przypisany adres ip na stałe, miał nadane uprawnienia oraz dodany do grupy na forti, po jego odejściu komputer był zabezpieczany hasłem, konto było wyłączone, oraz hasła które były zostały zablokowane tak by nie było możliwości logowania
nie wiem czy pomogłem czy też nie , lecz u nas tak było i dość dobrze działało
U nas do łączenia z serwerami wykorzystywane są konta AD, nie ma sytuacji w której kilku użytkowników loguje się na to samo konto. W przypadku awarii bądź problemu trudniej jest dojść kto i z czym zawinił. Fakt jest jednak taki, że posiadamy w zasadzie same serwery windowsowe i 1 oparty o linux’a.
W przypadku zwalniania pracownika mamy podobny system jak u Leszek99. tzn jest obiegówka, z którą pracownik jest zobowiązany przyjść w dniu zwolnienia. Musi zdać zarówno Laptopa/Komputer jak i telefon i ewentualnie peryferia komputerowe, które miał wraz ze sprzętem. Po sprawdzeniu sprzętu blokujemy konto AD i wszelakie inne konta typu poczta itp.
Nie mamy też tak dużej ilości systemów by mieć problem z blokowaniem uprawnień, ale w sumie gdyby napisać skrypt zmieniający hasła dla danego usera w poszczególnych systemach to nie byłby głupi pomysł.
Na pewno da się to rozwiązać jakimś skryptem