SSH-Schlüsselverwaltung

SSH-Schlüsselverwaltung

Automatisierte SSH-Schlüsselregistrierung, Distribution und Lifecycle-Management

villes

Das Problem, mit dem viele Unternehmen heute konfrontiert sind, besteht darin, dass ihre IAM-Lösungen keine SSH-Schlüssel als Anmeldemethode unterstützen.

Wie bei jeder Authentifizierungsmethode werden SSH-Logins durch das Unternehmens-IAM geregelt, das in einfachster Form die Frage beantwortet, wer wo zugreifen kann? Normalerweise ist die Quelle der Wahrheit dafür das Unternehmens-LDAP, in vielen Fällen Active Directory (AD), das die Beziehung zwischen Identitäten und ihren erlaubten Zugriffsorten hostet. Bei SSH-Schlüsseln ist diese Landschaft jedoch ganz anders: Es gibt keine solche einzige Quelle, sondern die Berechtigungsinformationen werden über die Unix/Linux-Serverlandschaft selbst verteilt. Wenn ein Unternehmen 100 Server hostet, bedeutet dies, dass es 100 einzelne Entscheidungs- (oder Verletzungs-)Punkte für den Zugriff gibt. Da ein Zugang zu einem anderen führen kann, kann die tatsächliche Zahl viel größer sein.
Das Problem, mit dem viele Unternehmen heute konfrontiert sind, besteht darin, dass ihre IAM-Lösungen keine SSH-Schlüssel als Anmeldemethode unterstützen. Technisch gesehen sind die bestehenden IAM-Lösungen nicht in der Lage, die Lücke zwischen zahlreichen Autorisierungen innerhalb einer Unix/Linux-Serverlandschaft und den Identitäten und Autorisierungen innerhalb des zentral verwalteten AD/LDAP zu schließen.
RCDevs hilft Ihnen dabei

Zentral verwalten Ihre SSH-Schlüssel

SSH-Schlüsselverwaltung
Viele oder sogar alle Unix- und Linux-Logins laufen ungeregelt ab, ohne dass man feststellen kann, welcher Schlüssel zu welcher Identität gehört und ob der Zugriff gegen die IAM-Richtlinien des Unternehmens verstößt. In der Praxis bedeutet dies, dass sich eine unbekannte Identität mit einem Schlüssel anmelden kann, von dem nicht einmal bekannt ist, dass er existiert. Erschwerend kommt hinzu, dass SSH-Anmeldungen im Allgemeinen für den privilegierten Zugriff, die kritischste Form des Zugriffs, sind.
Die SpanKey-Lösung von RCDevs bietet SSH-Schlüssellebenszyklus-Management von der Self-Service-Web-Registrierung über die automatisierte Schlüsselverteilung bis hin zur Prüfung unerwünschter Zugriffe und Erneuerung veralteter Schlüssel. SpanKey arbeitet auf Standard-LDAP/AD mit Berechtigungen, die bequem an derselben zentralen Stelle verwaltet werden wie die zugehörigen Identitäten. Die SpanKey-Lösung wurde entwickelt, um selbst die größten IT-Umgebungen zu unterstützen.

Main Eigenschaften

Berechtigungs- und Identitätsmanagement
Anstatt SSH-Autorisierungen und zugehörige Schlüsselrichtlinien (Berechtigungen) auf einzelnen Hosts manuell oder durch benutzerdefinierte Skripte verwalten zu müssen, werden sie einfach in einem vorhandenen zentralen Berechtigungs- und Identitätsspeicher gespeichert, normalerweise im Unternehmens-AD/LDAP, wo Rollen mit dem Methode zum Hinzufügen von Benutzern zu und aus relevanten LDAP-Gruppen. Das heißt, eine Standard-LDAP-Gruppe kann Details zu Ablauf, Verwendung und verschiedenen anderen Schlüsselberechtigungen hosten, die dann automatisch auf Mitgliedshosts und Identitäten dieser Gruppe durchgesetzt werden.
Bereitstellung
Der Arbeitsablauf beim Anfordern und Akzeptieren des Schlüsselzugriffs sowie bei der Schlüsselerneuerung wird über einfach zu bedienende Web-Self-Services abgewickelt, die man beispielsweise über Standard-SAML oder ADFS in bestehende IAM-Frameworks einbetten kann. Dank der in SpanKey eingebetteten OpenOTP-Fähigkeiten unterstützen die Self-Services auch nativ Multi-Faktor-Authentifizierung, die von Yubikeys und PIV-Karten bis hin zu Soft-Token, QRCodes, On-Demand-SMS-OTP und vielem mehr reicht.
Authentifizierung und Autorisierung
Mit SpanKey wird die Entscheidung über die Gewährung des Zugriffs von einzelnen Hosts auf einen zentralen SpanKey-Server und damit letztendlich auf das AD/LDAP des Unternehmens verlagert. Dies wird über den SpanKey-Agenten erreicht, der über das standardmäßige Unix/Linux Pluggable Authentication Module (PAM)-Framework mit dem SSH-Authentifizierungsprozess verknüpft ist. Dies vereinfacht nicht nur den Gesamtprozess der Authentifizierung, sondern macht ihn auch deutlich sicherer, da die Autorisierungsdaten nicht mehr die Kontrolle über die lokal auf den Hosts gespeicherten Konten haben, sondern innerhalb des zentral gesteuerten AD/LDAP.
Überwachung
Die Überwachung des SSH-Schlüsselzugriffs hat im Rahmen des IAM-Lebenszyklusmanagements einen doppelten Zweck:

Um jeden SSH-Zugriff (nicht nur schlüsselbasierten) zu erkennen und zu melden, der gegen konfigurierte Richtlinien verstößt.
Bereitstellung eines organischen Behebungsworkflows für Legacy-SSH-Schlüsselumgebungen unter Verwendung vordefinierter Zuweisungsregeln, bei denen Schlüssel automatisch Besitzern (Identitäten) zugeordnet werden, basierend auf Anmeldedaten, die transparent von laufenden Anmeldungen erfasst werden

Hauptmerkmale

Vollständige Unterstützung für vorhandene LDAP/AD-Verzeichnisimplementierungen
Super einfache Einrichtung (1 Minute auf einem leeren Linux-Host)
AD-Konten unter Linux (kein PAM-LDAP oder Winbind mehr)
RBAC auf der Webverwaltungsschnittstelle (WebADM)
SSH-Authentifizierung mit lokalem Schlüsselcache für die Offline-Nutzung
RBAC für SSH-Zugriff auf öffentlichen Schlüssel
Host-Zugriffsberechtigungen mit einfachem Server-Tagging
Rollenbasierte Tastensteuerung (aus Strophen, Befehlseinschränkungen, ..)
Unterstützung für gemeinsame Konten (Erhaltung der persönlichen Prüfung)
Automatisierter Ablauf des öffentlichen Schlüssels
Einfache Schlüsselregistrierung über Web-Self-Services
Unterstützung für Hauptschlüssel
Unterstützung für Wiederherstellungsschlüssel
Automatisierte Schlüsselerneuerung
Unterstützte Algorithmen: RSA 1024, 2048 und 4096 Bit-Schlüssel. Elliptische Kurve Mit 256, 384 und 521 Bit Schlüsseln. DSA Nur mit 1024-Bit-Schlüsseln
HSM-Unterstützung für Schlüsselgenerierung und Verschlüsselung
Grafische Sitzungsaufzeichnung in einer verschlüsselten DB oder NAS
Geprüfte Regelbereitstellung und Protokollsammlung für Benutzersitzungen
Automatische Kontoerstellung und temporäre Konten
Optionale Multi-Faktor-Authentifizierung mit RCDevs OpenOTP
Benutzerregistrierung über Self-Services
Unterstützung für Hardware-PIV-Schlüssel und Smatcards.
Wird von den meisten Linux-Distributionen unterstützt
Serverseitiger Sperrbildschirm
Kompatibel mit

Dies ist eine nicht erschöpfende Liste von SpanKey-kompatible Linux-Distributionen

SpanKey-Server laufen auf Ihrem WebADM-Cluster und sind mit Ihrem Active Directory oder einem anderen LDAP-Verzeichnis verbunden. Der SpanKey-Agent für Linux wird als RPM/DEB-Quellpaket bereitgestellt. Es kann verwendet werden auf:

Oracle / RedHat / Centos-Server (>= RHEL6)
Debian / Ubuntu
Suse Linux
UNIX / BSD MacOS
oracle_linux
roter Hut
Centos
debian
suse
Himbeerpi
Ubuntu
Sehen Sie, wie einfach es ist, SpanKey Server zu integrieren:

Installieren und konfigurieren Spankey SSH-Schlüsselverwaltungsserver

Spankey v1

Spankey v2

Um eine Online-Demo anzufordern, müssen Sie nur Ihr Konto erstellen oder uns kontaktieren.

Online-Demos sind kostenlos verfügbar, damit Sie RCDevs Multi-Faktor in 5 Minuten ausprobieren und sich mit Ihrem Handy oder Yubikey authentifizieren können.
de_DEDE