Как правильно ораганизовать доступ?

Question

[Сергей Гультяев]

Добрый день, сообщество!
Имеется три системных администратора. Несколько серверов в датацентре (DC) на которых крутятся виртуальные машины, несколько серверов клиентов. Все сервера на Windows Server от 08 до 19. Где есть Active Directory, где нет.
Как правильно организовать доступ администраторам?
Сейчас у всех один логин и пароль, считаю, что так делать неправильно, т.к. концов потом не найти, кто, что сломал и кого пинать.
Вариант каждому сделать свой логин и пароль тоже очень скользкий, т.к. если человек уходит, то надо все учётки отключать.
Небольшая схема для визуализации вопроса.

Answer 1

[KPOBABAK]

Делаете терминал. Настраиваете там учетки для 3х админов.
Настраиваете там доступы ко всем ресурсам что они должны админить.
Настраиваете белые списки ip для доступа к терминалу. (+впн если надо)
Ушел админ его ip выкидывается из списка.
Соответственно все клиентские сервера разрешено админить только с терминала этого.

Answer 2

[CityCat4]

А что Вы собственно хотите-то? Ну сделайте три обезличенных учетки - admin1, admin2, admin3 и закрепите за каждой конкретного Иванова, Петрова и Щварцмана. Здесь не придумать других вариантов, кроме как: одна учетка на всех, обезличенные учетки у каждого, персональные учетки у каждого.

Comments

[Сергей Гультяев]

Ну вот Иванов = admin1, на всех серверах будет пользователь admin с паролем qwe@123 (условно). Вот он ушел и везде придется менять пароль от admin1. Ничего не изменилось.)

[CityCat4]

Сергей Гультяев, Ну да, а Вы что ждали? Без централизации учеток Вам в любом случае придется его менять.

[Сергей Гультяев]

CityCat4, дак вот вот вопрос, каких их централизовать?

[YMakeev]

Сергей Гультяев, Вас спасет AD. Подключайте в домен то что болтается просто так, заводите все ВМки и будет счастье ;)

[KPOBABAK]

Сергей Гультяев, используйте скрипты

Answer 3

[DDwrt100]

Без централизованной системы учета, вы все в любом случае попадаете на рутинные действия по администрированию учеток администраторов.

Как вариант выделите отдельный сервер, который будет использоваться для администрирования.
Со стороны администраторов учетные записи.

Comments

[Сергей Гультяев]

Спасибо за ответ. Но яснее не стало.
Отдельный сервер тоже никак не решает проблему.

[DDwrt100]

Сергей Гультяев, Отдельный сервер у вас выступает централизованной точкой контроля. На сервере вы можете собирать подробные логи всех действий администратора, и например делать снимки раз в пять секунд. Плюс одна точка для администрирования учеток администраторов.
Что в принципе решает вашу проблему.

[YMakeev]

DDwrt100, Замутить AD и нет проблемы с отдельным сервером.

Сергей Гультяев Если вы не используете AD повсеместно, тогда вам будет сложно.

Answer 4

[Дмитрий Шумов]

Имеется три системных администратора

Вариант каждому сделать свой логин и пароль тоже очень скользкий, т.к. если человек уходит, то надо все учётки отключать.

И с этим вы хотите разграничивать доступ....... ИМХО вышеописанная практика опасна и не должна быть в наличии.
Самый правильный вариант:
Каждый админ имеет 2 (ДВЕ) УЗ - рабочая и админская. С рабочей он сидит на локальном компе и права у нее как и у всех пользователей. С админской он ходит и админит на серверах. На них и накручиваете права. Аля:
Создать группы: имя_сервера_РОЛЬ и в них включать админские УЗ кому куда хотите дать доступ.

Comments

[Сергей Гультяев]

Если бы это был IT-отдел, то ваш вариант адекватный. Но это аутсорс, не подойдет.

[YMakeev]

Один из самых здравых советов. Ну и что, что аутсорс. Нарежте права шире. Главное - КОНТРОЛЬ!
И разграничение.

Answer 5

[Andrey Sitnikov]

У каждого админа своя учётка.
Если увольняется админ, в AD меняете пароль/блокируете учётку. На машины вне домена доступ должен быть ограничен через rdp только с определённой машины, которая в свою очередь в домене. Прямой доступ с правами администратора к базам только с локального хоста либо со специальной машины для управления, без прав (только чтение, запись в разрешённые таблицы/базы) с любой машины.
У вас же везде windows, почему не всё в домене?

Comments

[Сергей Гультяев]

Я чуть выше в комментах писал, что мы в аутсорсинге работаем. Поэтому у всех клиентов свои сервера, свои AD и т.д. и т.п.
Кто-то просто арендует у нас виртуалки, кто-то имеет свои стойки по соседству.

[YMakeev]

Попробуйте Федерацию прав или доверительные отношения между доменами.
А вообще правила что один клиент - одна админ учетка должно сохраняться.

Answer 6

[Дмитрий Шицков]

Индивидуальные учетки, централизованное управление учетками. В ваших масштабах подойдёт вариант с ansible и текстовый файлы с учеткамии администраторов

Comments

[Сергей Гультяев]

Ну масштаб ~100 серверов.

[Дмитрий Шицков]

Сергей Гультяев, я имел ввиду масштабы количества пользователей, которыми нужно управлять. В больших масштабах можно использовать базу ldap для хранения и управления пользователями.

[Сергей Гультяев]

Дмитрий Шицков, окей, сейчас ознакомлюсь, спасибо

Answer 7

[beerchaser]

А поднять двухфакторную с привязкой к корпоративному номеру? Человек уходит - блочите симку , переключаете номер на новую? Или с привязкой к корпоративной почте?

Comments

[Сергей Гультяев]

Вот это уже очень близко. Вот с номером прям хорошо. А у вас есть опыт в таком?

[beerchaser]

Не используем, но следим :)
Неплохая статья по настройке решения от Microsoft.
Sms passcode

Готовые решения - платные:( Тут надо Вам решать, насколько критична стоимость решения в Вашем бизнесе. Ну или делать свои костылики...

[YMakeev]

Аппаратные USB токены для авторизации...

[beerchaser]

YMakeev,
Неа... По условию задачи нужно изменить точку доставки маркера авторизации не меняя привязку к учётной записи. Ситуация с токенами следующая
1. Генерируем сертификат;
2. Привязываем его на учётную запись на овермного серверах, которые не в домене (т.е. вручную);
3. Сохраняем сертификат на токен;
4. Выдаём специалисту для использования;
5. Специалист уходит вместе с токеном;
6. Упс...Отзыв сертификата! (Плюс надо ещё иметь уверенность, что все серверы лист отзыва прочитали);
7. Новый специалист - goto п.1

[YMakeev]

beerchaser,
Без токена можно и не отпустить ;)

Еще вариант - заколхозить авторизацию через обезличенные учетки через сервис "https://duo.com/"
Админ уходит - сброс его авторизации (новый пароль + новый аутенттификатор + новый телефон для СМС)

[beerchaser]

YMakeev,
Платные решения уже упоминал. Duo-одно из многих. Имеющее проблемы с импортозамещением...