我们有一个由20多名实习生组成的团队,每3-6个月join并离开我们。 他们每个人在10-15个共享的AWS实例上都有单独的SSHlogin设置,其中一些已经运行了多年,其他的则运行了几天或几周。 每次我们需要pipe理员创build实例并授权用户及其密钥,并设置angular色。 当他们离开时,pipe理员手动删除所有用户或在某些情况下只阻止授权的密钥,以防止SSH。
什么是能够自动运行此实例的用户和SSHpipe理的最佳实践? 我们如何审计我们的实例以确保用户不会绕过我们的SSH限制?
如果你总是有人离开和join,并且你关心安全性,你可能要考虑与Teleport一起使用多因素身份validation。
Teleport中的“群集”概念应该让用户自动login到群集中的新主机而不需要干预。 您还可以指定SSH密钥的持续时间,并轻松地跨群集创build/删除用户。
设置Teleport可能与使用Puppet / Chef相同,因此您可能需要在执行之前准备好您的需求和function列表并设置优先级。
LDAP / AD支持是Teleport的一项付费function。
FreeIPA很可能是你正在寻找的东西。 http://freeipa.org/page/Main_Page
它允许pipe理主机和用户,设置到期date等,所有这些都来自Web界面。