1
ahcat 2015-04-20 16:11:37 +08:00
HAC 堡垒机 成熟的解决方案,还带审计。
|
2
fxxkgw 2015-04-20 17:20:49 +08:00
kerberos?
只要设置了kerberos账号密码和期限,离职时删掉kerberos账户。 登录时用kerberos |
3
akira 2015-04-20 17:43:25 +08:00
linode 的gateway 思路不错,不过不知道他是用什么实现的
|
4
unixbeta 2015-04-20 17:49:56 +08:00 via iPhone
ad或ldap
交给我来搞吧 |
5
lshero 2015-04-20 18:09:09 +08:00
我司弄的很费劲 SSL VPN 动态令牌 甲方的身份认证系统 还有堡垒机
线上查错和长征一样费劲 如果没有审计需求的话,最省事的办法就是服务器全放内网SSH只侦听内网的22端口,离职了后先把VPN帐户禁用了就好了 |
6
ryd994 2015-04-21 00:07:52 +08:00 via Android
划清责任范围,一台机最多三个人能动
乱七八糟的容易相互扯皮 |
7
sheaven OP 现在的问题是有NN家客户,每个客户又有很多服务器,so堡垒机方案肯定pass,vpn方案倒是可以考虑,不知是否有 每个客户部署一台vpn服务器 然后集中管理账号的方案
|
8
huangmiao233 2015-04-21 02:16:23 +08:00 via Android
3A 服务器
|
10
ryd994 2015-04-21 04:07:15 +08:00 via Android
|
11
janxin 2015-04-21 08:06:53 +08:00
堡垒机的好处是方便审计,万一出什么问题一定能溯源
VPN方便是方便了,出问题肯定扯皮,安全肯定算不上。 如果要是那么麻烦,直接用ssh验证码就可以,vpn都省了,客户直接在网页可以看到验证码,用Google Auth之类的生成就行....客户自己管理自己的网站账号密码 |
12
nexpro 2015-04-21 10:29:04 +08:00
目前是通过salt来管理公钥
也可以尝试采用FreeIPA |
13
tuzky 2015-04-21 11:15:38 +08:00
买几个RSA令牌的配套服务就好了。
另外对公网的话一定要堡垒机。 |
14
yiyiwa 2015-04-26 15:44:16 +08:00
我这边是ad和389-ldap同步的, 然后只有一个账号, 全部的东西都是这个账号.
|
15
fuge 2015-05-15 12:09:57 +08:00
都是推销堡垒机的
|