SSH OTP und signierte Clients Certs mit Hashicorp Vault - Vortragsunterlagen

[Christian Ordig]

> On 5. Aug 2021, at 22:11, Daniel 'moep' Tschada <daniel at tschada.net> wrote:
> 
> Am Wed, 4 Aug 2021 23:38:37 +0200
> schrieb Christian Ordig <chr.ordig at gmx.net>:
> 
>> War ne coole Runde und gute Diskussion. Bei weiteren Fragen und
>> Anregungen, gerne hier oder direkt an mich.
> 
> Fand ich auch (auch wenn ich nicht bis zum Ende da war). Ich kannte
> Vault bisher nur aus haufen Ansible Tutorials.
> 
> Ich fühlte mich stark an FreeIPA erinnert, wo du z.B. LDAP, Kerberos
> und den System Security Services Daemon (SSSD) nutzt, um Policys und
> Benutzerrechte zentral verwalten kannst. Z.B. dass nur User, die in der
> Gruppe admin sind, sich als root einloggen dürfen.
Der Vault ist ne komplett andere Baustelle als ein IPA.
Lies vielleicht nochmal in Ruhe meinen zweiten Link auf der Link-Liste durch:
https://www.vaultproject.io/docs/what-is-vault <https://www.vaultproject.io/docs/what-is-vault>

> Wenn ich dich richtig verstanden, nutzt du es auch beruflich?
ja

> Falls ja, was war für dich der aus ausschlaggebende Punkt, dass du eben
> dies nutzt und nicht FreeIPA, denn mit Red Hat hat man ja jmd
> mit den finanziellen Ressourcen.
> 
wir nutzen in einem anderen Projekt auch (noch) FreeIPA, das hat aber eher historische Gründe. Und dort geht es auch tatsächlich um solche Dinge, die Du weiter oben beschrieben hast: 2FA beim System-Login und zentrale Verwaltung der User im LDAP und paar andere Kleinigkeiten. Ist aber eine komplett andere Baustelle. Den Vault nutzen wir vereinfacht gesagt als Ablage von Secrets (Credentials aller Art, Crypto-Keys) auf die wir z.B. aus der Automatisierung zugreifen können. Zu SSH OTP login und SSH Certificates, die im Vortrag vorgestellten Features, bauen wir gerade einen PoC.

Grüße,
Chris
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <http://www.tlug.de/pipermail/tlug_allgemein/attachments/20210813/ae805d5a/attachment.htm>