12
Admingruppen - Tool für Zentrales Management der Zugänge
Hallo!
Ich suche eine Software, in der ich zentral Zugänge zu diversen Servern, Routern, etc. managen kann. Also im Endeffekt RDP, Telnet, SSH und Webinterface-Verbindungen.
Perfekt wäre es, wenn ich bei den jeweiligen Geräten bei Bedarf Zugangsdaten hinterlegen kann, die man nicht im Klartext sehen kann, die ich aber einem anderen Teammitglied zur Benutzung "freigeben" kann.
Problem ist einfach, dass viele der Geräte keine vernünftige Benutzerverwaltung haben. Wer den Admin-Account hat, hat alles...
Angeschaut habe ich bereits: ASG Visionapp Remotedesktop.
Die Verbindungen liegen auf einem Datenbankserver und ich kann private und öffentliche Benutzerdaten und Verbindungen pflegen und freigeben.
Das ist o.k., aber ich bin nicht wirklich begeistert, weil z.B. keine PublicKey-Authentifizierung möglich ist.
Kennt ihr eine Alternative?
Vielen Dank
Gruß
Phil
Ich suche eine Software, in der ich zentral Zugänge zu diversen Servern, Routern, etc. managen kann. Also im Endeffekt RDP, Telnet, SSH und Webinterface-Verbindungen.
Perfekt wäre es, wenn ich bei den jeweiligen Geräten bei Bedarf Zugangsdaten hinterlegen kann, die man nicht im Klartext sehen kann, die ich aber einem anderen Teammitglied zur Benutzung "freigeben" kann.
Problem ist einfach, dass viele der Geräte keine vernünftige Benutzerverwaltung haben. Wer den Admin-Account hat, hat alles...
Angeschaut habe ich bereits: ASG Visionapp Remotedesktop.
Die Verbindungen liegen auf einem Datenbankserver und ich kann private und öffentliche Benutzerdaten und Verbindungen pflegen und freigeben.
Das ist o.k., aber ich bin nicht wirklich begeistert, weil z.B. keine PublicKey-Authentifizierung möglich ist.
Kennt ihr eine Alternative?
Vielen Dank
Gruß
Phil
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 214291
Url: https://administrator.de/contentid/214291
Ausgedruckt am: 22.11.2024 um 14:11 Uhr
12 Kommentare
Neuester Kommentar
Hi,
schau dir mal von Devolutions (http://devolutions.net/) den Remotedesktop Manager - meiner Ansicht ist das Teil die Eierlegende Wohlmilch Sau....
Das ganze ist Datenbank basierend und kann im Team genutzt werden.
Gibt auch ne 30 Tage Testversion.
Gruß
Weasel
schau dir mal von Devolutions (http://devolutions.net/) den Remotedesktop Manager - meiner Ansicht ist das Teil die Eierlegende Wohlmilch Sau....
Das ganze ist Datenbank basierend und kann im Team genutzt werden.
Gibt auch ne 30 Tage Testversion.
Gruß
Weasel
Hallo!
Danke für den Tipp! Bin gerade am Testen.
Was mir nicht gefällt (bisher) ist, dass man jedes Passwort per "Copy to Clipboard" exportieren kann.
Dadurch kann ich im Endeffekt einem Mitarbeiter nicht nachträglich wieder "sicher" Rechte entziehen, oder?
Phil
Danke für den Tipp! Bin gerade am Testen.
Was mir nicht gefällt (bisher) ist, dass man jedes Passwort per "Copy to Clipboard" exportieren kann.
Dadurch kann ich im Endeffekt einem Mitarbeiter nicht nachträglich wieder "sicher" Rechte entziehen, oder?
Phil
Hallo,
Du solltest einmal darüber nachdenken, ob man die Software nicht zusammen mit einem eigenen Management VLAN
nur für Euch Administratoren zusammen nutzen solltet und mittels eines KVM Switches darauf zugreift.
Also die meisten Switche haben ein so genanntes "Default VLAN" in dem erst einmal alle an das Netzwerk
angeschlossenen Geräte Mitglied sind und wenn man nun alle anderen vorhandenen VLANs noch einmal in ein extra VLAN
legt in dem das VLAN1 nicht enthalten ist kann man so recht schnell das VLAN1 nur für die Admins nutzen und hat es vom restlichen Netzwerk sauber getrennt und in diesem VLAN1 sind dann eben nur die Administratorkonsolen Eurer Gruppe
zusätzlich Mitglied! Mittels einem KVM Switch kann man auch recht schnell alle Geräte anbinden und hat dann nur von dort
aus Zugriff auf die Geräte. An den Geräten selber kann man dann ja auch noch hinterlegen, wenn sie es denn erlauben,
dass man sich eben nur, via SSH anmelden kann, und den Port respektive die Schnittstelle kann man auch hinterlegen und
wenn dieser dann zum VLAN1 gehört und keinem anderen VLAN ist das doch auch wieder recht sicher, oder?
Die Software die dann zum Einsatz kommt ist dann doch schon eher sekundär.
Hier noch ein Beispiel zu einem sicheren SSH Key Storage für Admins.
Der arbeitet mit OpenSSH, Putty und vielen anderen Programmen zusammen, so liegen die Schlüssel auch nicht auf
der Administratorkonsole.
P.S.
Das Tool von @whacky-weasel arbeitet mit Putty zusammen und der USB Stick ebenso.
Gruß
Dobby
Du solltest einmal darüber nachdenken, ob man die Software nicht zusammen mit einem eigenen Management VLAN
nur für Euch Administratoren zusammen nutzen solltet und mittels eines KVM Switches darauf zugreift.
Also die meisten Switche haben ein so genanntes "Default VLAN" in dem erst einmal alle an das Netzwerk
angeschlossenen Geräte Mitglied sind und wenn man nun alle anderen vorhandenen VLANs noch einmal in ein extra VLAN
legt in dem das VLAN1 nicht enthalten ist kann man so recht schnell das VLAN1 nur für die Admins nutzen und hat es vom restlichen Netzwerk sauber getrennt und in diesem VLAN1 sind dann eben nur die Administratorkonsolen Eurer Gruppe
zusätzlich Mitglied! Mittels einem KVM Switch kann man auch recht schnell alle Geräte anbinden und hat dann nur von dort
aus Zugriff auf die Geräte. An den Geräten selber kann man dann ja auch noch hinterlegen, wenn sie es denn erlauben,
dass man sich eben nur, via SSH anmelden kann, und den Port respektive die Schnittstelle kann man auch hinterlegen und
wenn dieser dann zum VLAN1 gehört und keinem anderen VLAN ist das doch auch wieder recht sicher, oder?
Die Software die dann zum Einsatz kommt ist dann doch schon eher sekundär.
Hier noch ein Beispiel zu einem sicheren SSH Key Storage für Admins.
Der arbeitet mit OpenSSH, Putty und vielen anderen Programmen zusammen, so liegen die Schlüssel auch nicht auf
der Administratorkonsole.
P.S.
Das Tool von @whacky-weasel arbeitet mit Putty zusammen und der USB Stick ebenso.
Gruß
Dobby
Hallo!
Ich glaube, das geht etwas an meiner Anforderung vorbei. Es geht um verteilte Geräte und Server an diversen Standorten in mehreren Ländern.
Wichtig ist mir einfach die Möglichkeit, dass ich einem Admin für 4h Zugriff auf einen Router geben kann, ohne ihm das Passwort im Klartext geben zu müssen bzw. vorher und Nachher auf dem Router das Passwort ändern muss.
Und noch wichtiger: Ich will nicht alle Passworte auf allen Geräten ändern, wenn ein Admin ausscheidet, weil er eventuell alle Passworte im Klartext hat.
Dementsprechend möchte ich Verbindungen mit hinterlegten Benutzerdaten einem User geben können.
Gruß
Phil
Ich glaube, das geht etwas an meiner Anforderung vorbei. Es geht um verteilte Geräte und Server an diversen Standorten in mehreren Ländern.
Wichtig ist mir einfach die Möglichkeit, dass ich einem Admin für 4h Zugriff auf einen Router geben kann, ohne ihm das Passwort im Klartext geben zu müssen bzw. vorher und Nachher auf dem Router das Passwort ändern muss.
Und noch wichtiger: Ich will nicht alle Passworte auf allen Geräten ändern, wenn ein Admin ausscheidet, weil er eventuell alle Passworte im Klartext hat.
Dementsprechend möchte ich Verbindungen mit hinterlegten Benutzerdaten einem User geben können.
Gruß
Phil
Ich glaube, das geht etwas an meiner Anforderung vorbei. Es geht um verteilte Geräte und Server an diversen Standorten in mehreren Ländern.
Ich dachte Du beziehst dich lediglich auf ein lokales Netzwerk.Wichtig ist mir einfach die Möglichkeit, dass ich einem Admin für 4h Zugriff auf einen Router geben kann, ohne ihm das Passwort im Klartext geben zu müssen bzw. vorher und Nachher auf dem Router das Passwort ändern muss.
Standorte via VPN verbinden und dann haben eben die Admins denen Du kurz den Zugang zu dem Server auf demder Remote Desktop Manager Server läuft.
Und noch wichtiger: Ich will nicht alle Passworte auf allen Geräten ändern, wenn ein Admin ausscheidet, weil er eventuell alle Passworte im Klartext hat.
Wenn es sich um weit verteilte Standorte handelt und die Admins auch über die WAN Schnittstelle auf die Gerätezugreifen können, wird Dir wohl oder übel nichts anderes übrig bleiben, sollte man aber jedoch nur auf bzw. über die
LAN Schnittstelle zugreifen können, ist das wohl eher zu vernachlässigen.
Gruß
Dobby
Ich würde für die Server Administration über einen anderen Ansatz an die Sache dran gehen.
Du hast doch sicherlich ein Active Directory - hier kannst Du doch für den jeweiligen Admin einen personalisierten User anlegen und die Anmeldezeit auf einen bestimmten Zeitraum beschränken und danach das Konto deaktivieren oder ablaufen lassen.
Für sonstige Geräte im Netzwerk mit LDAP oder AD-Anbindung geht das bestimmt auch.
Was haltet ihr davon?
Gruß
weasel
Du hast doch sicherlich ein Active Directory - hier kannst Du doch für den jeweiligen Admin einen personalisierten User anlegen und die Anmeldezeit auf einen bestimmten Zeitraum beschränken und danach das Konto deaktivieren oder ablaufen lassen.
Für sonstige Geräte im Netzwerk mit LDAP oder AD-Anbindung geht das bestimmt auch.
Was haltet ihr davon?
Gruß
weasel
1
Dafür ein +1 von mir!
Gruß
Dobby
Für sonstige Geräte im Netzwerk mit LDAP oder AD-Anbindung geht das bestimmt auch.
Hätte ja auch jeder selber drauf kommen können!Gruß
Dobby
Moin Phil,
eine ähnliches Projekt hatten wir vor ca. einem Jahre auch. Wir haben uns damals für ASG entschieden. Da es noch am flexibelsten war. Wir merkten beim Testen gleich die Leistung der Datenbank im Hintergrund. Von wie vielen parallen Zugriffe reden wir bei dir und mit wie vielen Logins? Dateibasierende Datenbanken kannst du bei mehreren 100 Zugangsdaten in die Tonne treten. Keepass o.ä.
Wir haben angefangen erstmal für jedes Land eine Gruppe anzulegen und darunter einzelne Bundesländer. Somit können wir an Hand von AD-Gruppen genau steuern, wer wo Zugriff erhält. Benutzer aus der Gruppe entfernt, Rechte weg. Wir haben allerdings ASG auf einen RDS-Server am Laufen.
Grüße,
Dani
eine ähnliches Projekt hatten wir vor ca. einem Jahre auch. Wir haben uns damals für ASG entschieden. Da es noch am flexibelsten war. Wir merkten beim Testen gleich die Leistung der Datenbank im Hintergrund. Von wie vielen parallen Zugriffe reden wir bei dir und mit wie vielen Logins? Dateibasierende Datenbanken kannst du bei mehreren 100 Zugangsdaten in die Tonne treten. Keepass o.ä.
Wir haben angefangen erstmal für jedes Land eine Gruppe anzulegen und darunter einzelne Bundesländer. Somit können wir an Hand von AD-Gruppen genau steuern, wer wo Zugriff erhält. Benutzer aus der Gruppe entfernt, Rechte weg. Wir haben allerdings ASG auf einen RDS-Server am Laufen.
Für sonstige Geräte im Netzwerk mit LDAP oder AD-Anbindung geht das bestimmt auch.
Damit erschlägst du mit viel Glück 50% deiner Zugänge die es gibt. Viele Netzwerkgeräte unterstützten mit viel Glück TACACS. Es gibt genug Firewalls, Router die nur Radius-Server unterstützen, etc... da hast du gleich 3 bis 4 neue Server da stehen die du am Besten noch redudant auslegen solltest, den ohne diese ist kein Login mehr möglich. Vom Pflege und Wartungsaufand will ich gar nicht reden.PublicKey-Authentifizierung möglich ist.
Für was?Grüße,
Dani
1Zitat von @Dani:
> Für sonstige Geräte im Netzwerk mit LDAP oder AD-Anbindung geht das bestimmt auch.
Damit erschlägst du mit viel Glück 50% deiner Zugänge die es gibt. Viele Netzwerkgeräte unterstützten mit
viel Glück TACACS. Es gibt genug Firewalls, Router die nur Radius-Server unterstützen, etc... da hast du gleich 3 bis 4
neue Server da stehen die du am Besten noch redudant auslegen solltest, den ohne diese ist kein Login mehr möglich. Vom
Pflege und Wartungsaufand will ich gar nicht reden.
> Für sonstige Geräte im Netzwerk mit LDAP oder AD-Anbindung geht das bestimmt auch.
Damit erschlägst du mit viel Glück 50% deiner Zugänge die es gibt. Viele Netzwerkgeräte unterstützten mit
viel Glück TACACS. Es gibt genug Firewalls, Router die nur Radius-Server unterstützen, etc... da hast du gleich 3 bis 4
neue Server da stehen die du am Besten noch redudant auslegen solltest, den ohne diese ist kein Login mehr möglich. Vom
Pflege und Wartungsaufand will ich gar nicht reden.
Das sollte ja auch kein Problem sein für die anderen 50% ein oder zwei Radius Server aufzusetzen.
Am besten als VM auf einem HA-Cluster. Und wenn eben einer ausfällt ist das ja auch nicht sooo schlimm, dann machst Du eben ein Recovery.
Und da die "Original" Passwörter ja sowieso keiner hat, hat man ja dennoch direkten Zugriff auf die Geräte!.
Also "Null Problemo" wie ein haarige Freund mal sagte....
Grüße
weasel
Hallo!
Ganz so einfach ist es dann eben doch nicht. Vielleicht ist euer Netzwerk bzw. das eurer Kunden "sauberer", als das, das ich betreuen muss, aber da sind immer wieder Geräte, die eben nicht über ein Verzeichnis authentifizieren können.
...und wenn es nur ein blöder Printserver ist...
@Dani:
Danke für Deine Hilfe! Gerade teste ich ASG und RemoteDesktopManager parallel. Was ich besser finde, hängt von der Tageszeit ab
RemoteDesktopManager ist schon flexibler, aber bedarf auch etwas Einarbeitung.
Grüße
Phil
Ganz so einfach ist es dann eben doch nicht. Vielleicht ist euer Netzwerk bzw. das eurer Kunden "sauberer", als das, das ich betreuen muss, aber da sind immer wieder Geräte, die eben nicht über ein Verzeichnis authentifizieren können.
...und wenn es nur ein blöder Printserver ist...
@Dani:
Danke für Deine Hilfe! Gerade teste ich ASG und RemoteDesktopManager parallel. Was ich besser finde, hängt von der Tageszeit ab
RemoteDesktopManager ist schon flexibler, aber bedarf auch etwas Einarbeitung.
Grüße
Phil
@phil
was kam nun als Ergebnis raus?
Inzwischen kann Password Safe auch sehr viel von deinen Anforderungen. Wir testen es für uns gerade...
Grüße,
Dani
was kam nun als Ergebnis raus?
Inzwischen kann Password Safe auch sehr viel von deinen Anforderungen. Wir testen es für uns gerade...
Grüße,
Dani
Hallo Dani,
ehrlich gesagt habe ich das Projekt noch nicht produktiv umsetzen können. Damals hatte ich mich aber für "RemoteDesktopManager" entschieden. Das konnte praktissch alles abdecken, was ich wollte.
Password Safe schaue ich dann auf jeden Fall noch einmal an.
Gruß
Dani
ehrlich gesagt habe ich das Projekt noch nicht produktiv umsetzen können. Damals hatte ich mich aber für "RemoteDesktopManager" entschieden. Das konnte praktissch alles abdecken, was ich wollte.
Password Safe schaue ich dann auf jeden Fall noch einmal an.
Gruß
Dani
