Phần 3: Quản lý tập trung ssh-key bằng privacyIDEA.
Phần 9: SSO update...
Mô tả: Khi 1 user yêu cầu admin cho phép ssh vào server A. Admin sẽ gán sshkey trên PrivacyIDEA thay bằng việc gán key vào thư mục .ssh . việc quản lý rất dễ dàng. Ko cần phải login vào từng server để cài đặt. Admin thông qua PrivacyIDEA sẽ quản lý được toàn bộ ssh vào các server.
Trên máy client:
add-apt-repository ppa:privacyidea/privacyidea
apt-get update
apt-get install privacyideaadm
Tạo file config mới cho privacyidea-sshkey.
#vim /etc/privacyidea/authorizedkeyscommand
[Default]
url=https://your-ip-server-privacyIDEA
admin=admin
password=********password-server-privacyIDEA
nosslcheck=False
Note: Các bạn thấy ở đây ta dùng user là [ admin/**** ] Chính là user đăng nhập website privacyIDEA server. Như vậy sẽ không bảo mật chút nào. Mời các bạn theo dõi Phần 6, set policy cho từng user. Ta sẽ tạo user admin riêng, và user get key ssh riêng.
Ta test thử get key public trên client:
privacyidea-authorizedkeys root
sẽ báo lỗi. Đó là do ta chưa add key và define machine.
Bước 1: Tạo ssh key cho user bất kỳ (ở đây tôi test trên user root)
Ta tạo 1 public/private key bất kì. Rồi gán cho user root. (dùng lệnh ssh-keygen -t rsa , để cẩn thận, ta ko chạy lệnh này trên client, có thể là 1 máy bất kì nào đó)
Tạo **Enroll New Token **
Bước 2:Tạo Machine resolvers:
Bước 3: Define hosts cho SSH-KEY vừa gán ở Bước 1.
Chọn token-ssh key
Tìm đến phía cuối và chỉnh sửa (define host)
Save lại rồi test thử lại bước cũ
Chọn token-ssh key
Tìm đến phía cuối và chỉnh sửa (define host)
Save lại rồi test thử lại bước cũ
privacyidea-authorizedkeys root
OK. Đã get được key từ client. Giờ ta sẽ chèn key này vào ssh config.
Bước 5: Chèn privacy vào ssh, để ssh get key từ PrivacyIDEA
#vim /etc/ssh/sshd_config
AuthorizedKeysCommand /usr/bin/privacyidea-authorizedkeys
# You also should run the command with lower privileges.
# The low_priv_user needs to have read access to /etc/privacyidea/authorizedkeyscommand.
AuthorizedKeysCommandUser root
Restart ssh.
Như vây ta có thể login vào 1 server bất kì nào đã được thiết lập. Việc quản lý tập trung này rất dễ dàng với công ty nhiều người sử dụng. Có thể cho phép hoặc bỏ quyền bất cứ lúc nào thông qua giao diện PrivacyIDEA
Ngoài ra ta có thể thiết lập đăng nhập 2 bước. Khi login ngoài việc chèn sshkey, ta vẫn phải nhập mật khẩu lần thứ 2 nữa mới có thể đăng nhập đc vào server.
Ngoài ra ta có thể thiết lập đăng nhập 2 bước. Khi login ngoài việc chèn sshkey, ta vẫn phải nhập mật khẩu lần thứ 2 nữa mới có thể đăng nhập đc vào server.
Không có nhận xét nào:
Đăng nhận xét