Administración de authorized_keys en una gran cantidad de hosts

Question

¿Cuál es la forma más fácil de administrar el archivo authorized_keys para openssh en una gran cantidad de hosts? Si necesito agregar o revocar una nueva clave a una cuenta en 10 hosts, por ejemplo, debo iniciar sesión y agregar la clave pública de forma manual, o mediante un script de shell torpe, que consume mucho tiempo.

Lo ideal sería que hubiera una base de datos central que vinculara claves a cuentas @ máquinas con algún tipo de soporte de agrupación (IE, agregue esta clave al nombre de usuario X en todos los servidores en la categoría web). Hay un fork de SSH con soporte para ldap, pero prefiero usar los paquetes SSH principales.

Answer 1

me gustaría partida de los proyectos Monkeysphere. Utiliza la red de conceptos de confianza de OpenPGP para administrar los archivos authorized_keys y known_hosts de ssh, sin requerir cambios en el cliente o servidor ssh.

Answer 2

Siempre he hecho esto manteniendo un árbol "maestro" de las claves de los diferentes servidores, y usando rsync para actualizar las máquinas remotas. Esto le permite editar cosas en una ubicación, enviar los cambios de manera eficiente y mantener las cosas "al día": todo el mundo edita los archivos maestros, nadie edita los archivos en hosts aleatorios.

Es posible que desee consultar proyectos que se ejecutan para ejecutar comandos en grupos de máquinas, como Func en https://fedorahosted.org/func u otros paquetes de administración de configuración del servidor.

Answer 3

¿Ha considerado usar clusterssh (o similar) para automatizar la transferencia de archivos? Otra opción es una de las configuration systems centralizadas.

/Allan

Answer 4

Uso Puppet para muchas cosas, incluida esta. (utilizando el tipo de recurso ssh_authorized_key)