Nous sommes un atelier relativement petit (en termes de nombre d’administrateurs système) avec un mélange de serveurs RHEL, Solaris, Windows 2003 et Windows 2008 ; environ 200 serveurs au total. Pour nos comptes administrateur (chaque administrateur a le sien), nous utilisons le compte Active Directory pour Windows et un compte local séparé pour Linux et Solaris.
Les mots de passe sont les mêmes sur tous les serveurs Linux/Solaris, et nous les changeons tous les quelques mois. C’est clairement un risque de sécurité et je cherche une meilleure solution.
Comment gérez-vous les identifiants des administrateurs sur des environnements mixtes Linux/Windows ?
Les serveurs connectés à AD Windows peuvent avoir leurs mots de passe d’administrateur local définis via la stratégie de groupe en utilisant par exemple Microsoft LAPS (Local Administrator Password Solution). C’est gratuit et très efficace.
Pour Linux, vous pouvez joindre les serveurs à Active Directory en utilisant SSSD, Winbind ou Centrify. Cela permet aux administrateurs d’utiliser leurs identifiants AD pour se connecter aux serveurs Linux, éliminant le besoin de comptes locaux partagés.
Pour les serveurs Solaris plus anciens qui ne peuvent pas rejoindre AD, envisagez un coffre-fort de mots de passe comme CyberArk, Thycotic, ou HashiCorp Vault.
L’authentification par clé SSH pour Linux/Solaris est fortement recommandée car elle élimine le besoin de mots de passe partagés.