我们打算让我们的系统pipe理员在几个星期内去。 他可以访问我们的整个基础设施,所以我们必须重新设置密码。 这将是非常耗时的,但是有了服务器和设备的数量,我们不得不重置。 有几件事与Windows域绑定在一起,因此很容易,但是依赖于是否有任何服务以该用户身份运行,这是有问题的。
有什么方法可以轻松地撤销该用户的所有内容吗? 我想我要求的跨平台单一login…也许RADIUS可以做到这一点? 还是有一个像RSA SecureID那样的交钥匙解决scheme? 你们用了什么?
当我离开我的最后一个工作时,他们必须经历相同的过程。 我设法获得了几乎所有我们拥有的根密码。 有一个小型项目可以绘制出我所能访问的所有东西,并且列出了我所知道的所有列表。 上个星期我整个过程中,由于各种密码,ACL和组员的身份发生了变化,我一直在稳步减less权限。 电信家伙给我看起来很邪恶,因为他们没有改变他们的密码,太远了,不得不在每台设备上做(一些需要现场访问)。 至less他们有机会同时部署中央密码系统。 在我的最后一天,我被要求花时间去尝试着解决问题,以便看看他们是否有所作为。 事实上,他们做到了。
这是在SysAdmin世界里应该看起来像一个有礼貌的权力转移。
我们通过Radius使用SecurID来控制所有外部访问networking。 这意味着要限制远程访问点的数量( 模拟线路任何人? ),并确保剩下的那些(1)使用SecurID解决scheme作为身份validation(用于SSH,RDP,networking邮件等)或(2)的因素终止程序清单(在“停机”的情况下将密码旋转到DSL等)。
从外部访问这样安全,你处理旋转所有的静态密码,清理用户帐户等内部。
关于“取决于是否有任何服务以该用户身份运行” – 最好的做法是,由于这个原因,没有人在用户帐户的情况下运行。 现在审计您的cron , at等工作,并将您可以转到的非人员服务帐户。
build立你的环境来优雅地处理这种事情并不是一件容易的事,而且可能不是你在未来几周内可以安排的事情。
使用静态根密码,使用哪个密码(希望它们足够清晰,以便您可以识别它们而不会泄露它们),以及上次更改的date,对所有系统进行注册。 如果可以的话,切换到使用多个不同级别的“根”密码 – 如果这些设备使用有限用途的唯一密码,则不需要更改不用于面向外部设备的低级密码。
对于pipe理人员来说,这也是一个重要的教训: 不要让你的IT人员恶化,因为他们实际上有业务的关键 。 良好的招聘政策 – 招聘员工,你可以信任一旦他们的就业结束时不会滥用他们的知识 – 通常比技术解决scheme更容易(也更好)。
即使使用某种types的单点login机制,也不能避免必须经过你将不得不经过的练习。 单点login是一个抽象层,实质上将各种单据集抽象为单个凭证(从用户的angular度),但不会将各个实体“合并”为一个实体。 如果您有Windowslogin和Linuxlogin,并且使用单点login来允许用户进行一次身份validation以访问这两个系统,则当用户离开时,仍然有两个login需要处理。 对于普通用户来说,单点login是有效的,但对于pipe理员或有经验的用户来说,他们将知道如何绕过机械手的单点login系统(路由器,服务器等),为什么要通过单点login机制,当我可以直接telnet到路由器?