Управление ключами пользователей на среднем количестве серверов под управлением GNU/Linux

Собственно имеем мы ну скажем около 100 серверов на которых у нас должен быть определенный набор пользователей, вход у них сугубо по ключам.
Добавление пользователей не вопрос, dsh нам в помощь и одной командой добавляем хоть на всех 100 серверах.
Но вот у нас случилось печальное, по какой-то причине один из наших пользователей сменил свой ключ, неважно, утерял его секретную часть или еще почему, но сменил. Кто может предложить какие варианты централизованного управления?
Первой идей, что пришло в голову это всякие puppet`ы и хранение ключей пользователей не у них в ~, а в /etc/ssh/%user_name и соответственно раскладывание.

Может у кого есть какие еще идеи-варианты? Может кто-то сам уже озадачился подобной проблемой?
Идею пользователей в LDAP и Co и централизованного хранения и доступа с паролем не предлагать, идею NIS+NFS и монтирование ~ по сети из одного места тоже.
  • Вопрос задан
  • 3353 просмотра
Пригласить эксперта
Ответы на вопрос 4
DmZ
@DmZ
Кто мешает через puppet хранить ключ в ~/.ssh/authorized_keys?
У нас так реализовано (правда через chef) — список пользователей, привязанный к ним список ключей и authorized_keys перезаписывается если список изменился.
Проблем никаких — ключ поменялся, ты изменил его для пользователя, изменение разошлось по серверам. Старые ключи при этом потерлись, чтобы был контроль над доступом.
Ответ написан
@inkvizitor68sl
Linux-сисадмин с 8 летним стажем.
Deb-пакетиками. Хранить правда можно в одном каталоге, чтобы было удобнее и нужно было дпелоить только один пакет.
Ответ написан
mgyk
@mgyk
Репазиторий с ключами и сhef/puppet который из него разворачивает ключи на все серваки. + ключи не таскаются за puppet, есть история, кто когда и какой ключ добавил
Ответ написан
svk
@svk
Есть в природе патч для openssh, который добавляет в конфиг опцию AuthorizedKeysCommand, и позволяет брать ключ не из файла, а из stdout произвольной программы или скрипта. Какие это возможности открывает, надеюсь, объяснять не нужно. В нормальных серверных ОС (RHEL,CentOS,OEL И т.д.) этот патч уже включен в мейнстрим.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы