Централизованное управление учетными записями удаленных серверов?
Доброго времени суток, коллеги!
У нас стоит задача в "один клик" управлять учетными записями админов на разных платформах серверов (Win 2003 по Win 2019).
У нас примерно 100 удаленных серверов в администрировании, которые объединены в VPN сеть.
Нам нужна система управления учетными записями администраторов. Трудность которая у нас сейчас имеется – персонал имеет административный доступ к серверам, если у нас сотрудник увольняется, нам приходиться вручную менять на каждом сервере пароли его учетной записи...
Возможно и вовсе нужно уходить от использования паролей, смотрел в строну двухфакторной авторизации, смотрел в сторону OTPkey, USB-ключей - так чтобы сказать "это то, что нам нужно" пока не нашел. Поделитесь опытом, какое решение выбрать лучше всего под эту задачу?
Основные условия:
1. Сервис не должен быть развернут в облаке (есть своё железо)
2. Сервис должен отрабатывать надежно (перепроверять "а сменилось ли на 127 сервере?" не получиться)
Puppet, salt. Ansible не подходит из-за push модели.
Как отметили выше ad это самый адекватный вариант.
Но если по какой-то причине ваши клиенты согласны на одинаковые логины-пароли приходящих сисадминов с другими конторами.... то я даже не знаю.
1 - пилим разные домены в дереве, с разным трастом
2 - делегируем администрирование конкретной учетке, тогоже приходящего админа или сотрудника на месте, не то что доменов, вплоть до AU