Ik vroeg me plots af hoe andere bedrijven dit doen.

Hebben jullie allemaal standalone servers met eigen wachtwoorden, of maken jullie gebruik van een centrale authenticatie database zoals active directory of openldap? Voor 2 servers is een maandelijkse password change nog wel te doen, maar voor 10 begint het al vervelender te worden, laat staan dat je 30 of meer servers hebt...

Of ben ik de enige die zich druk maakt over een maandelijkse password change en (eenvoud in) beheer standaarden en mogelijkheden? ;)

Edit:
TS begint:
Ik wil gaan kijken naar openldap voor de authenticatie van linux servers, gebeurd op dit moment nog met de hand maar moet allemaal wat innovatiever :). Windows doen we niets mee dus ligt even buiten de scope.

Jeroen,

Heb je SSH keys al eens in overweging genomen? Ook makkelijk voor derden die je toegang tot de server willen geven, zonder passwords te verstrekken.

Jeroen,

Heb je SSH keys al eens in overweging genomen? Ook makkelijk voor derden die je toegang tot de server willen geven, zonder passwords te verstrekken.
Half, alleen werk ik meer dan regelmatig niet vanaf mijn vaste werkplek, dus daar is het eerste probleem al..

Hoewel ik je raad natuurlijk prettig vind was dit topic meer bedoeld als ervaringen topic, en niet als advies topic voor ons zelf (hoewel het natuurlijk wel nieuw licht schijnt op mijn gedachte).

Wij hebben hier NIS (Network Information Services) voor gebruikt, als je veel op andere locaties werkt, kan je natuurlijk ook eens denken aan beveiligd usb stick, eventueel met z'n eigen os erop, naast het feit dat je daarmee geen zooi kan achterlaten op een omgeving waar je aan het werk bent geweest, kan je toch op eenvoudige wijze altijd beheerstaken uitvoeren.

Hier nu met SSH keys(zoals randy zegt handig om 3den toegang te geven) en aan een online omgeving bezig. Iets zoals een password reminder met monitoring etc... dit gedeelte voor aanmelden moet ik nog uitwerken.

Zo'n OS is best handig, maar prefereer toch liever mijn laptop / pda die ik altijd bij heb.

Ik heb een nokia E71 en heb hier putty op geinstalleerd waarnee ik kan inloggen op de server's.
Vervolgens heb ik 1 centrale server waarmee ik inlog met mijn telefoon met een ssh key.
Vervolgens ga ik vanuit deze server naar alle subserver's welke ook SSH keys hebben.
Werkt ideaal, raak je de telefoon kwijt, wis de key op de centrale server en je bent weer veilig.

Voor je laptop, als je op linux draait is een ssh key eenvoudig en makkelijk, voor windows gebruik putty.

Een NIS is natuurlijk makkelijk als je alle server's zelf in beheer hebt, maar als hij verschillende klanten gemixed worden lijkt het me met key auth makkelijker.

Ik ben hier nou ook mee bezig

Zijn er ook mensen die ervaring hebben met Tokens samen met SSH en putty?

Ik ga hier niet exact ophangen hoe ik het ingeregelt heb, maar wij gebruiken ook een OpenLDAP omgeving.

Bij ons gaat het in totaal om 110 servers, waar we eigenlijk allemaal als "root" aan het werk zijn.

Medewerkers kunnen op een centrale server inloggen vanaf waar ze bij alle systemen kunnen. Dit gaat op basis van SSH-Keys.

Wanneer een medewerker toegang krijgt tot een server wordt zijn key toegevoegd bij de gebruiker "root".

Alle servers hebben ook nog een wachtwoord van heel veel tekens, maar die gebruiken we nooit en liggen veilig en ver weg opgeslagen.

Voor de distributie van de keys hebben we zelf met PHP icm SSH2 een systeem geschreven wat de keys verspreid over de servers.

Uiteraard heb je wel één master key nodig, maar met wat truukjes kan je deze key gewoon laten rouleren.

Wij hebben ook al naar een ideale oplossing liggen zoeken om dit alles te regelen.
Persoonlijk ben ik niet zo een voorstander voor SSH keys voor de veiligheid... Zo kan eender wie die op een systeem met keys geraakt gewoon toegang krijgen tot servers, of deze al dan niet toegang mag hebben.
SSH keys met eventueel een simpel paswoord die de gebruiker kent lijkt mij een betere oplossing. Spijtig genoeg moeilijk te realiseren.

Dus de meeste gebruiken een soort van zelf ontwikkelde RADIUS server?

Probleem is natuurlijk dat eens die RADIUS server down gaat, er geen toegang mogelijk is tot eender welke server...

Persoonlijk ben ik niet zo een voorstander voor SSH keys voor de veiligheid...

Wat is er onveiliger dan een wachtwoord? De key zelf kun je namelijk ook gewoon met een wachtwoord beveiligen.

Wat is er onveiliger dan een wachtwoord? De key zelf kun je namelijk ook gewoon met een wachtwoord beveiligen.

Wij gebruiken SSH-keys om juist geen wachtwoord meer te hoeven gebruiken. De combinatie van een wachtwoord en SSH-keys die op 2 plaatsen synchen zou natuurlijk ideaal zijn...

Wat is er onveiliger dan een wachtwoord? De key zelf kun je namelijk ook gewoon met een wachtwoord beveiligen.
Dan lijkt me de key beveiligen met een wachtwoord de beste optie inderdaad.

Probleem is dat de optie met SSH keys niet echt portable is en niet met wachtwoorden werkt, iets met openldap is wel portable en werkt weer met wachtwoorden. Naar mijn mening zou een centrale inlogserver van waaruit je verder werkt een betere optie zijn, hiermee kun je de overige servers achter de inlogserver IP restricten op de centrale login server, echter is je inlogserver plat dan kun je niets, dus een 2e centrale inlogserver die werkt via ssh keys is dan een fallback.


Wat is er onveiliger dan een wachtwoord? De key zelf kun je namelijk ook gewoon met een wachtwoord beveiligen.
Overigens laatst bij een cursus Biometrie gehoord dat iets wat je weet (pincode, wachtwoord) veiliger is dan iets dat je hebt (pasje, ssh key). Combinatie van die 2 maakt het geheel weer stuk veiliger.. was daarnaast nog een "item" dat het geheel weer veiliger maakte (miss wel lichamelijk kenmerk).. ben het verhaal alleen beetje kwijt ;)

Maarten van Xolphin is onlangs met Cryptoshop.nl gestart. Het is even kijken of er hier een goede toepassing voor komt. Een token bijvoorbeeld, zoals je ook voor telebankieren gebruikt.

heb ik inderdaad ook tijdje mee gewerkt voor toegang bij een klant, maar weet niet hoe betaalbaar zo een oplossing is..

goed te betalen dus ;) zie alleen nog geen technische info hoe je dit kunt koppelen aan bijv. een ssh server.

Een andere optie is om A-select te implementeren.. zal morgen even documentje uppen dat ik geschreven heb.. a-select wordt onder andere bij digi-d gebruikt, maar denk dat de toepassing beetje te ver gaat voor wat servers :)

Een hele PKI opzetten en onderhouden gaat in de meeste gevallen te ver denk ik.

Kwam ik met het smurfen dit (http://www.swekey.com/) tegen. Iemand hier ervaring mee? Ik zie dat er nu (tijdelijk?!) geen tokens m eer uitgeleverd worden. Het blijft wel de beste manier: iets dat je weet combineren met iets dat je hebt.

Kwam ik met het smurfen dit (http://www.swekey.com/) tegen. Iemand hier ervaring mee? Ik zie dat er nu (tijdelijk?!) geen tokens m eer uitgeleverd worden. Het blijft wel de beste manier: iets dat je weet combineren met iets dat je hebt.
Ziet er inderdaad leuk uit.. voordeel van dit systeem tegenover die bij cryptoshop is dat hier "in the box" modules bijgeleverd worden die eenvoudig in te zetten zijn :)