Temos uma equipe de mais de 20 estagiários que entram e saem a cada 3-6 meses. Cada um deles tem logins SSH individuais configurados em 10 a 15 instâncias compartilhadas da AWS, algumas das quais estão em execução há anos, outras são executadas por alguns dias ou semanas. Cada vez, precisamos que o administrador crie a instância e autorize os usuários e suas chaves, bem como configure suas funções. Quando eles saem, o administrador exclui manualmente todos os usuários ou, em alguns casos, bloqueia apenas as chaves autorizadas para impedir o SSH.
Qual é a melhor prática para poder automatizar esse gerenciamento de usuário e SSH para instâncias em execução? Como podemos auditar nossas instâncias para garantir que um usuário não ignore nossas restrições de SSH?
Se você sempre tem pessoas saindo e entrando e se preocupa um pouco com a segurança, considere a autenticação multifator junto com o Teleport .
O conceito de 'cluster' no Teleport deve permitir que os usuários façam login automaticamente em novos hosts em um cluster sem intervenção. Você também pode especificar a duração das chaves SSH e criar/excluir usuários em clusters facilmente.
Configurar o Teleport pode ser tão complicado quanto usar Puppet/Chef, então você pode querer preparar e priorizar uma lista de seus requisitos e recursos antes da implementação.
O suporte a LDAP/AD é um recurso pago do Teleport.
FreeIPA provavelmente é o que você está procurando. http://freeipa.org/page/Main_Page
Ele permite gerenciar hosts e usuários, definir datas de validade, etc., tudo a partir de uma interface da web.