Bonjour à tous (et bonne année).
 
Je rencontre un besoin très simple, sans doute déjà rencontré par beaucoup d'entre vous qui maîtrise/utilise ce type d'environnement.
 
J'ai une batterie de serveur LINUX pour lesquels je n'ai aucun compte nominatif (pour les administrateurs, il n'y a pas d'utilisateurs sur ces plateformes).
Je voudrais donc créer pour chacun des administrateurs et techniciens des comptes nominatifs en les forçant à utiliser des clés privées (avec mot de passe).
 
La ou je bloque c'est concernant le déploiement en masse, dans un environnement Windows j'utiliserais l'AD sans hésiter.
Est ce que pour un environnement LINUX, il faut aussi déployer un annuaire LDAP, se connecter sur un annuaire AD existant, répliquer simplement les comptes sur chaque machine ?
 
Je n'ai pas suffisamment d’expérience sur les environnements LINUX, je vous sollicite donc pour que nous puissions débattre des solutions et bonnes pratiques de chacun.
 
Merci par avance    
 
Bonne journée

Justement si tu as un compte distant, tu pourrais imaginer faire une copie par SSH de tes clés publiques de tes utilisateurs, si tu pars sur un système clé privée/clé publique  
Cela serait en outre moins lourd à mettre en place qu'une connection à l'AD en LDAP (AD étant un LDAP ) et de gérer les droits après. Dans ton AD tu as tes utilisateurs et les administrateurs, et tous les administrateurs n'ont pas forcément besoin de se connecter à tous les serveurs.
 
Regardes par ici en exemple, sachant qu'à la suite tu pourras scripter l'envoie dans le langage de ton choix tant que ça gère du SSH.

Bonjour bardial et merci pour ton retour.
 
Je vais effectivement partir sur des clé privée/publique c'est une certitude.
 
En revanche, j'ai toujours créer des jeux de clé par rapport à des utilisateurs systèmes existant (dans /~/.ssh), avec cette solution il faudrait donc que je script la création des comptes puis l'ajout des clé SSH dans leur répertoire personnel.
 
Sans cela je n'aurais toujours pas de compte nominatif et donc de traçabilité clairement lisible sur les actions effectuées sur les systèmes.
 
Il y a t'il moyen par ailleurs de forcer le changement de mot de passe de l'authentification des clés privées tous les trois mois par exemple ?
 
 
 

Ben niveau création d'utilisateurs tu seras bien obligé de le faire, l'ajout de l'authentification par un système clé publique/clé privée n'est qu'une couche supplémentaire de sécurité.
Sachant que tu peux très bien aussi utiliser si ça t'enchante (ou si le besoin se faisait sentir) un système OTP (par ici côté serveur, sachant que le client peut être aussi FreeOTP pour un smartphone/tablette Android ou iOS).
 
Après tu as tant de monde que cela qui doit se connecter sur tes serveurs ?
Tous les admins et tous les techs doivent pouvoir se connecter sur tous les serveurs ?
 
Après tu pourrais utiliser un système comme Puppet pour s'occuper des utilisateurs par exemple :

Là, toujours pareil, par du script tu fais une copie de la clé publique de tes utilisateurs. S'ils doivent tous aller sur tous les serveurs, Puppet pourra se charger de copier le fichier contenant les clés publiques.
 
Pour le coup des 3 mois, sauf à faire du script qui va reset ton fichier qui contient les clés publiques, appelé par cron, je ne vois pas trop comment faire car à ma connaissance ça n'a pas de "durée de vie" à ce niveau

à une époque j'avais mis ça en place (authentification centralisée), j'avais utilisé nss-mysql et le module radius de PAM, ça marchait bien et sans avoir à créer chaque user un par un sur chaque serveur.  
Je vois qu'il existe de façon analogue nss_ldap et pam_ldap, tu dois pouvoir t'en sortir avec ça.

+1, créer des utilisateurs locaux sur chaque serveur c'est un non sens

Justement voir déjà si tous les tech et tous les admins doivent pouvoir aller sur tous les serveurs... ainsi seuls ceux qui ont un compte dessus pourront y accéder, et pas les autres.
Et ça m'étonnerait qu'il bosse avec 300 admins et techs, qui doivent pouvoir tous bosser sur 1500 serveurs

 
c'est une problématique à gérer par des groupes de sécurité, pas par des comptes locaux créés au petit bonheur la chance.

J'ai une soixante de serveurs et ça évolue qui doivent être accessible par une équipe de 15 personnes, donc je pense qu'un annuaire correspond mieux au besoin.
 
D'autant plus que nous avons déjà un annuaire LDAP (type AD).
 
Je vais fouiller du coté de NSS et PAM, j'ai l'impression que ce n'est pas sorcier, après je n'ai pas suffisamment de recul ni d’expérience pour dire que ça collera au besoin (avec prise en compte des clés privée/publique et de l'expiration du mot de passe) et qu'il n'y aura pas d'incompatibilité à prévoir rapidement (évolution de l'environnement LINUX + évolution de l'environnement MS).

Voui voui voui  
Si tu passes par un structure gérée par un Puppet pour standardiser l'installation des comptes, ce n'est pas au petit bonheur la chance.
Si tu fais un script qui te créer pour tel serveur tel, tel et tel utilisateur dessus (avec bien évidemment un fichier disponible pour tout le monde pour savoir qui peut aller où), ce n'est pas au petit bonheur la chance.
 
Après niveau connexion comme tu le proposes, avec gestion par les groupes de sécurités, j'ai toujours eu de la mauvaise expérience dedans avec du Kerberos qui foirait quand on avait une perte de liaison entre l'AD et le serveur Linux (merci réseau national avec du bon lag ). Mais je l'accorde, c'est théoriquement ce qu'il faudrait faire pour que ça soit propre.

 
En tout cas en ce qui me concerne ça m'a permis de comprendre l’intérêt d'une solution Puppet et franchement ça donne envie de le déployer rapidement compte tenu du nombre de serveur et des opérations qu'on fait à la "main" sur chaque serveur..
 
Donc merci  

 
+10000, les groupes ça sert à ça.
 
Puppet, oui pour la conf des serveurs (limite pour pousser la conf PAM/NSS s'il veut) mais pas pour gérer qui a le droit de se connecter sur 60 serveurs parmis 15 personnes.

 
Est ce que les netgroup dans un domaine nis ça ne ferait pas l'affaire?

Ou un puppet... qui permettrait de déployer les clefs a l'installation de nouvelles machines de façon automatique (avec fai), créé tes utilisateurs et d'harmonisé toutes les configurations de tes serveurs.

La vrai réponse, windows compliant est https://wiki.debian.org/LDAP/PAM
De rien.