Como experto en Microsoft Active Directory, su primer instinto para administrar el acceso a su terminal Linux es unir al dominio sus máquinas virtuales Linux a Active Directory. La idea detrás de esto es que podrá administrar centralmente sus puntos finales de Linux desde una ubicación centralizada familiar y no tener que lidiar con problemas específicos de Linux. Sin embargo, el sistema operativo Linux no fue diseñado para ser administrado por un Active Directory central. Esto le obliga a ejecutar varios agentes y servicios con privilegios elevados en su máquina Linux para emular el comportamiento de Windows en un entorno de Active Directory. Esta complejidad adicional agrega los mismos problemas posibles que con una máquina unida a un dominio de Windows, excepto que la depuración ahora debe realizarse desde una máquina Linux que podría no tener las mismas herramientas que su contraparte de Windows.
Siempre es DNS: Como con cualquier otra máquina unida a un dominio; el punto final de Linux tendrá que realizar un seguimiento de las ubicaciones de DNS para llegar a los controladores de dominio. Si el DNS dinámico no está configurado correctamente o se produce un cambio de DNS en el dominio sin reflejar el cambio en el punto final de Linux, el punto final perderá la capacidad de autenticar usuarios.
Agentes con Privilegios Elevados: Para habilitar la administración de usuarios similar a AD, debe instalar más de 10 paquetes adicionales y configurarlos. Esto no sólo aumenta la carga de gestión al garantizar que todos estos paquetes estén actualizados y funcionando correctamente, sino que también abre la puerta a una mala configuración que podría conducir a un ataque exitoso.
Sin Autenticación Multifactor: La unión básica a un dominio de Linux se basa en el uso de contraseñas, desde que se requiere una contraseña para unirse al dominio de la máquina hasta la autenticación de dominio basada en contraseña. En el mundo actual de confianza cero, la autenticación basada en contraseñas es inaceptable y no cumple con las normas. Lo que significa que se debe cargar un módulo PAM adicional para habilitar la autenticación multifactor.
Mala Experiencia de Usuario: Como profesional de la seguridad, una de mis mayores preocupaciones es asegurarme de que la experiencia del usuario de la ruta segura sea mejor o igual a la de los atajos que los ingenieros podrían utilizar para realizar su trabajo. Si configura la autenticación AD, pero el ingeniero debe iniciar sesión manualmente en cada punto final y seguir varios pasos, puede optar por agregar una cuenta local a la máquina y compartirla con el equipo. Derrotando todo el propósito de agregar autenticación segura y auditable.
Dado que más del 90 % de la infraestructura de la nube está basada en Linux, la comunidad Linux ha creado un sistema de gestión de acceso centralizado: los certificados SSH. Los certificados SSH son un estándar nativo de OpenSSH, lo que significa que son compatibles con la mayoría de las distribuciones de Linux de forma predeterminada. Los certificados SSH son certificados criptográficos firmados por una autoridad certificadora de confianza central. Permitir que grandes empresas como Facebook, Netflix y muchas otras grandes empresas para gestionar el acceso a sus puntos finales de Linux a través de una autoridad centralizada.
Si está interesado en cómo configurar y ejecutar su propia Autoridad de Certificación SSH, lea este blog donde lo guiamos paso a paso paso a paso sobre cómo crear una autoridad de certificación SSH.
Como se mencionó en el primer párrafo, Linux no fue diseñado para funcionar con Active Directory, si bien tiene un sistema de administración de acceso centralizado, no está vinculado a Active Directory. Aquí es donde entra en juego EZSSH. EZSSH es la única herramienta de administración de acceso a Linux sin agentes del mundo. EZSSH aprovecha sus grupos y usuarios de AAD existentes para administrar el acceso y crear certificados SSH a corto plazo. Brindándole control basado en Active Directory, mientras utiliza autenticación basada en Linux.
En Keytos nuestra principal prioridad es asegurarnos de que las herramientas sean familiares y fáciles de usar para todos. Es por eso que abstraemos las complejidades de ejecutar una autoridad de certificación SSH segura y compatible y creamos un sistema basado en políticas fácil de usar que le permite administrar el acceso de los usuarios agregando grupos y usuarios de AD. Para configurar el acceso en la máquina Linux, es tan simple como ejecutar el script creado por su política que agrega la CA como entidad confiable para la autenticación de usuarios. Sin agentes, módulos PAM adicionales ni configuraciones complejas, solo autenticación nativa de Linux.
Como se muestra en el vídeo a continuación, el flujo de usuario para acceder al sistema es más rápido y sencillo que crear una clave SSH y agregarla al punto final. Siempre que el usuario sea miembro de la política asignada al punto final, todo lo que debe hacer es ejecutar “ezssh ssh username@endpoint” o utilizar nuestra herramienta de interfaz de usuario. En segundo plano, EZSSH utilizará la cuenta AAD del usuario, autenticará nuestro servicio, verificará que el usuario tenga acceso al punto final y creará un certificado SSH a corto plazo que caducará una vez que pase el período definido. Esto elimina la necesidad de realizar un ciclo de vida de las cuentas y, dado que cada vez se crea una nueva credencial basada en criptografía, cumple y supera los requisitos de seguridad y cumplimiento para la rotación de credenciales.
Comience con EZSSH con una prueba gratuita de un mes. ¿Aún tienes preguntas? Hable con uno de nuestros expertos en identidad y obtenga una evaluación de identidad gratuita.
