Einfache Schlüsselregistrierung mit Self-Services
Die Self-Service-Anwendungen von RCDevs beinhalten eine SSH-Schlüsselverwaltungsfunktion, die es Benutzern ermöglicht, ihr eigenes SSH-Schlüsselpaar zu erstellen und den zugehörigen öffentlichen Schlüssel automatisch auf dem SpanKey-Server registrieren zu lassen. Die Liste der erlaubten SSH-Schlüsseltypen (RSA/ECC/DSA) und die Schlüssellänge (Anzahl der Bits) ist auf dem SpanKey-Server konfigurierbar. Der Self-Service generiert ein neues Schlüsselpaar und stellt den privaten Schlüssel sicher in verschiedenen Formaten bereit, darunter PuTTY und OpenSSH. Eine Richtlinienkonfiguration kann optional den Passphrasenschutz erzwingen. Der Self-Service-Zugang kann durch eine OTP-Login-Methode mit OpenOTP von RCDevs geschützt werden.
Grafische Sitzungsaufzeichnung
Mit SpanKey werden Terminalsitzungen überwacht und aufgezeichnet. Inaktive Sitzungen werden nach einer konfigurierbaren Zeit automatisch gesperrt und eine Benutzerkennwortabfrage wird zum Entsperren verwendet. Aber noch wichtiger ist, dass Terminalbenutzersitzungen live in der sicheren Datensatzdatenbank von WebADM aufgezeichnet werden. Sitzungen werden entweder in der SQL-Datenbank oder auf einem NAS-Mount verschlüsselt gespeichert. Zu Prüfungs- und Untersuchungszwecken können Sie Terminalsitzungen auch mit dem Sitzungsplayer in WebADM erneut abspielen. SpanKey kann eine eintägige SSH-Sitzung nur mit 3 MByte aufzeichnen! Im Gegensatz zu Lösungen von Mitbewerbern, bei denen die Aufnahme schnell einen hohen Speicherplatzbedarf hat, können Sie mit SpanKey Ihre Audit-Informationen jahrelang aufbewahren, ohne zusätzliche Terabyte zu benötigen.
Automatisierter Ablauf des öffentlichen Schlüssels
Das Ablaufen von SSH-Schlüsseln nach einer bestimmten Zeit ist erforderlich, um ein gewisses Maß an Vertrauen für die Benutzerschlüssel zu gewährleisten und die ISO- oder PCI-Vorschriften einzuhalten. Wenn SpanKey mit Schlüsselablauf konfiguriert ist, werden die Benutzer automatisch nach Ablauf ihrer öffentlichen Zeit benachrichtigt. Es wird eine E-Mail mit einem Erneuerungslink gesendet, der es ihnen ermöglicht, ihren gerade abgelaufenen öffentlichen Schlüssel selbst zu erneuern.
Unterstützung für gemeinsames Konto
Gemeinsame Konten sind bei der Verwendung von SSH in Unternehmen weit verbreitet. Ein gemeinsames Konto (wie 'root' oder ein 'webmaster'-Benutzer) ist ein Systemkonto, das von mehreren Administratoren gleichzeitig verwendet wird. In SpanKey können Sie jeden generischen LDAP-Benutzer in ein gemeinsam genutztes SSH-Konto umwandeln, indem Sie dieses Konto einfach mit einer „LDAP-Gruppe mit gemeinsam genutztem Zugriff“ verknüpfen. Dann erhalten alle Mitglieder der Gruppe mit ihrem eigenen SSH-Schlüssel Zugriff auf das gemeinsame Konto.
Hauptschlüssel und Wiederherstellungsschlüssel
In SpanKey können Sie Mastergruppen definieren, in denen die Mitglieder der Gruppe als Superuser betrachtet werden und mit ihrem SSH-Schlüssel auf jedes andere SpanKey-Konto zugreifen können. Eine Mastergruppe kann für verschiedene Gruppen von Zielservern über WebADM-Clientrichtlinien unterschiedlich konfiguriert werden. Standardmäßig löschen die SpanKey-Agenten die Datei "authorized_keys" der Benutzer zur Laufzeit, um zu verhindern, dass Benutzer nicht übergebene öffentliche Schlüssel hinzufügen. Wenn Wiederherstellungsschlüssel konfiguriert sind, werden diese Schlüssel zu Wiederherstellungszwecken automatisch in die Datei "authorized_keys" des Benutzers geschrieben (falls der SpanKey-Agent nicht mit dem SpanKey-Server kommunizieren kann).
HSMs und Hardware-SSH-Geräte
Wenn HSMs (z. B. YubiHSM) in WebADM verwendet werden, verwendet die Erzeugung des privaten SSH-Schlüssels die echte zufällige Erzeugung des HSM, um die erforderliche Entropie (zufällige Bytes) zu sammeln, die in dem SSH-Schlüsselpaar-Erstellungsprozess verwendet wird. SpanKeys verwendet HSMs sowohl für die RSA- als auch für die ECC-(Elliptic Curve)-Schlüsselgenerierung. SpanKey unterstützt Hardwaregeräte wie Smartcards und die Yubikeys v4 mit PIV Applet. Bei Hardware-SSH-Geräten gibt es keine private SSH-Schlüsseldatei; die Benutzer müssen das Gerät nur an den USB-Port anschließen, um Remote-Server mit SSH zu verbinden.