Gestión de claves SSH y grupos de claves

  1. Descripción general
  2. Importar las claves descubiertas a PAM360
  3. Crear nuevas claves e implementarlas
  4. Asociar claves existentes con usuarios y viceversa
  5. Realice operaciones de administración de claves (editar, rotar, disociar, eliminar) e iniciar conexiones de terminal directas
  6. Organice grupos de claves SSH para la gestión masiva
  7. Operaciones misceláneas

1. Información general

PAM360 le permite administrar todo el ciclo de vida de las claves SSH. El proceso realmente comienza con el descubrimiento de PMP de los recursos SSH en la red y sigue el flujo como se detalla a continuación:

Los pasos indicados anteriormente simplemente ilustran el flujo de eventos en PAM360. No es necesario que las sigas en el mismo orden explicado anteriormente.

2. Importe las claves descubiertas a PAM360

PAM360 requiere credenciales de usuario SSH para la administración de claves SSH. Si las credenciales están en su lugar, puede importar las claves SSH ya detectadas. Para importar los archivos clave del recurso SSH descubierto:

  1. Vaya a la  pestaña Claves SSH >> Claves SSH en la GUI.
  2. Las claves SSH se enumeran con sus detalles. Seleccione las claves que desea importar.
  3. Haga clic en el  botón Importar .

Las claves importadas se pueden ver desde la  pestaña Claves SSH >> Claves SSH .

Nota:  Si las claves están protegidas con una frase de contraseña, aunque la operación de importación se ejecutará con éxito, mientras se asocia con cuentas de usuario, debe ingresar la frase de contraseña para usar la clave.

2.1 Importar claves de sistemas

Además del descubrimiento automatizado de archivos clave de los servidores SSH, también puede especificar la ubicación e importar las claves presentes en cualquier sistema. Para importar los archivos clave del sistema:

  1. Vaya a la  pestaña Claves SSH >> Claves SSH en la GUI.
  2. Haga clic en el icono  Importar claves disponible en la esquina superior derecha de la ventana, encima de la tabla.
  3. Haga clic en el  botón Examinar y seleccione el archivo clave dentro del sistema.
  4. Introduzca el nombre y la frase de contraseña de la clave.
  5. Ingrese un comentario clave para su referencia.
  6. Haga clic en el  botón Agregar para incluir la clave en el repositorio.

Nota:  Si la clave está protegida con una frase de contraseña, se debe ingresar la misma para importar la clave con éxito.

Para editar un comentario clave en las claves ya importadas, siga los pasos a continuación:

  1. Vaya a la pestaña Claves SSH >> Claves SSH .
  2. Seleccione la clave requerida del repositorio.
  3. Haga clic en el menú desplegable Más del menú superior, elija Editar e ingrese el comentario requerido.
  4. Seleccione la casilla de verificación Actualizar comentario en servidores asociados para aplicar el comentario clave actualizado también en los servidores finales asociados. Esta opción elimina la necesidad de actualizar los comentarios clave manualmente en el archivo authorized_keys en los servidores finales.

Nota:  el comentario clave se puede editar solo para una clave a la vez.

3. Cree nuevas claves e impleméntelas

PAM360 también le permite crear nuevos pares de claves e implementarlos en los sistemas de destino. La función de creación e implementación de PAM360 se puede utilizar para generar e implementar claves con un solo clic. Se generan pares de claves únicos para cada cuenta de usuario y las claves correspondientes se implementan automáticamente en las cuentas de usuario de los servidores de destino.

El par de claves SSH se puede generar utilizando algoritmos RSA/DSA según los detalles a continuación:

  • RSA: claves de 1024, 2048 o 4096 bits
  • DSA: claves de 1024 bits.

Para crear claves:

  1. Vaya a  la pestaña Claves SSH >> Claves SSH en la GUI.
  2. Haga clic en la opción Crear.
  3. En la ventana Crear clave SSH, ingrese los detalles de la clave y seleccione el tipo y la longitud de la clave.
  4. Haga clic en el  botón Crear clave para generar el par de claves.

Recibirá una confirmación de que se ha creado la nueva clave. Todas las claves que se crean se agregan automáticamente al repositorio centralizado de PAM360. Puede ver estas claves desde la  pestaña Claves SSH >> Claves SSH  en la interfaz de usuario. PAM360 le permite buscar claves SSH usando  Nombre de clave, Tipo de clave, Longitud de clave, Huella digital, Creado por, Edad  y  campos adicionales.

3.1 Visualización de la contraseña de la clave

Los administradores pueden ver las frases de contraseña de las claves haciendo clic en el icono de mostrar frase de contraseña ( ) que se encuentra en el extremo derecho de las claves.

Para crear y asociar claves con todas las cuentas de usuario en un recurso descubierto:

  1. Vaya a Recursos >> Contraseñas.
  2. Seleccione la cuenta requerida y seleccione  Acciones clave >> Crear e implementar  para implementar las claves en todas sus cuentas de usuario enumeradas.
  3. Seleccione el  comentario clave, el tipo de  clave y la  longitud de la clave.
  4. Seleccione la casilla de verificación para  Elevar a usuario "raíz".

    Nota:  Por razones de seguridad, el inicio de sesión del usuario raíz puede estar deshabilitado para servidores/máquinas. Habilitar esta opción eleva el inicio de sesión de un usuario de un usuario no raíz a un usuario raíz y le permite asociar claves a todos los demás usuarios en el servidor. Los usuarios deben proporcionar credenciales de usuario raíz y cualquier usuario no raíz a PAM360 para elevar a un usuario raíz.

  5. Haga clic  en el botón Implementar  para crear pares de claves e implementarlos simultáneamente en todas las cuentas de usuario del recurso, para las cuales hay credenciales disponibles.

4. Asociar claves creadas o existentes con usuarios y viceversa (ver relación clave-usuario)

Después de importar/crear claves, puede asociar las claves con usuarios de SSH.

Nota:   Si se proporcionaron credenciales de usuario raíz o administrador para un recurso, las claves se pueden asociar con todas las cuentas de usuario enumeradas del recurso. Si no hay claves disponibles en la base de datos de PAM360, se le pedirá que cree una clave durante la asociación . Cree un par de claves y vuelva a estos pasos.

4.1 Asociación de claves creadas o importadas con cuentas de usuario de un solo recurso

  1. Vaya a  Recursos >> Contraseñas.
  2. Seleccione las cuentas de usuario para la asociación.
  3. Haga clic en el botón Asociar debajo de Acciones clave 
  4. Seleccione una clave y vuelva a hacer clic en el botón Asociar.

4.2 Asociar una clave SSH particular a cuentas de usuario

  1. Vaya a Claves SSH >> pestaña Claves SSH.
  2. Seleccione una tecla de la lista que se muestra.
  3. Haga clic en el  botón Asociar  .
  4. En la ventana Asociación de clave pública, seleccione las cuentas de usuario.
  5. Seleccione la casilla de verificación para  Elevar a usuario "raíz".

    Nota:  Por razones de seguridad, el inicio de sesión del usuario raíz puede estar deshabilitado para servidores/máquinas. Habilitar esta opción eleva el inicio de sesión de un usuario de un usuario no raíz a un usuario raíz y le permite asociar claves a todos los demás usuarios en el servidor. Los usuarios deben proporcionar credenciales de usuario raíz y cualquier usuario no raíz a PAM360 para elevar a un usuario raíz.

  6. Haga clic en el  botón Asociar  .

Ahora ha asociado con éxito una clave SSH particular a las cuentas de usuario.

4.3 Seguimiento de la clave a un usuario

  1. Vaya a la  pestaña Claves SSH >> Claves SSH.
  2. Haga clic en el nombre de clave deseado.
  3. Haga clic en el icono del gráfico de asociación en la esquina superior derecha de la ventana.

Se mostrará una representación pictórica de la relación entre la clave y el recurso en forma de mapa. Cuando hace clic en el nombre del recurso, se pueden ver las cuentas de usuario del recurso y puede conectarse con las cuentas de usuario asociadas con la clave seleccionada.

5. Realice operaciones de administración de claves (editar, rotar, disociar, eliminar) e iniciar conexiones de terminales directas.

5.1 Rotar claves SSH

Puede configurar PAM360 para rotar automáticamente las claves SSH a intervalos periódicos. Con un solo clic, todas las claves desplegadas pueden ser reemplazadas. Las llaves se pueden rotar según un cronograma o en cualquier momento según sus necesidades.

5.2 Rotación manual de llaves

Para rotar las llaves manualmente:

  1. Vaya a  Claves SSH >> pestaña Claves SSH.
  2. Seleccione las claves a rotar.
  3. Haga clic en la opción Rotar.

Se mostrará un mensaje de confirmación y se le redirigirá a la página de auditoría de rotación de claves, donde se actualiza el estado de la rotación.

Nota:  Solo se pueden rotar las claves que ya se han asociado con cuentas de usuario de recursos.

5.3 Rotación de claves programada

Para programar la rotación de llaves:

  1. Vaya a  Administrador >> SSH/SSL >> Horario
  2. Haga clic en el botón Agregar horario.
  3. En la  ventana Agregar programación , ingrese un nombre para la programación y seleccione el tipo de programación como  Rotación de clave de la lista desplegable.
  4. Seleccione las claves a rotar.
  5. Seleccione la hora y la fecha para la rotación. Introduzca las direcciones de correo electrónico de los usuarios a los que se notificará.
  6. Haga clic en  Guardar.

El resultado de la ejecución del cronograma se actualizará en la auditoría del cronograma y el resultado de la rotación de claves se actualizará en la auditoría de rotación de claves.

5.4 Disociar claves de usuarios de SSH

Cuando un usuario de SSH deja la organización o se le proporciona acceso privilegiado temporal, puede desasociar las claves asociadas con el usuario y suspender el acceso. Hasta que disocie todas las claves SSH, no puede eliminar la cuenta de usuario ni el recurso.

Para seleccionar las claves y desvincularlas de las cuentas de los usuarios:

  1. Vaya a la pestaña Claves SSH >> Claves SSH.
  2. Seleccione una sola clave que tiene que ser disociada.
  3. Haga clic  en Disociar  en la   lista desplegable Más .
  4. Si la clave está asociada con una sola cuenta de usuario, seleccione esta casilla de verificación para  Disociar clave localmente si falla la disociación remota  y haga clic  en Aceptar  en el cuadro de diálogo de confirmación para desasociar la clave.
  5. Si la clave está asociada con varias cuentas de usuario, seleccione las cuentas de usuario de las que debe disociarse la clave, seleccione esta casilla de verificación para  Disociar la clave localmente si falla la disociación remota  y haga clic  en Disociar  en la ventana Disociar usuarios.

5.4.1 Disociación de claves de cuentas de usuario seleccionadas

  1. Vaya a la  pestaña Recursos >> Contraseñas.
  2. Seleccione una cuenta de usuario para la que desee desasociar claves y haga clic en  Disociar de Acciones clave.
  3. Si la cuenta de usuario está asociada con una sola clave, seleccione  Aceptar en la ventana emergente.
  4. Si hay más de una clave asociada con el usuario seleccionado, seleccione las claves que deben disociarse y haga clic en el botón Disociar en la ventana Disociar claves.

    Nota:  cuando selecciona y elimina las cuentas de usuario enumeradas en PAM360, las claves SSH asociadas con ellas se desasocian automáticamente.

5.5 Pulsar teclas para cuentas de usuario remotas

Además de la implementación, PAM360 le permite enviar una clave privada o una clave pública, o ambas, a sus usuarios asociados.

Para enviar un archivo clave a cuentas de usuario remotas:

  1. Haga clic en el  ícono Push Key to User ( ) en el extremo derecho de la tecla seleccionada.
  2. Seleccione la clave que deba enviarse (privada, pública o ambas), proporcione los nombres de clave apropiados, seleccione los usuarios asociados requeridos y haga clic en Enviar.
  3. Los archivos clave se envían a los usuarios seleccionados.

Esta función también está disponible como parte del programa de rotación de claves. Una vez que se realiza la rotación de claves programada y se crean e implementan nuevos pares de claves, puede enviar automáticamente la clave privada o las claves pública y privada a los usuarios asociados seleccionados al habilitar la opción 'enviar clave al usuario' en lugar de presionar la archivos clave manualmente después de cada rotación programada.

Agregue comandos y restrinja el host por clave:

Puede agregar comandos a cuentas de usuario específicas, lo que proporciona una capa adicional de restricción que les permite ejecutar solo los comandos al establecer la conexión con el host. También puede predefinir la clave apropiada para la relación del usuario especificando la dirección IP del usuario en el formato apropiado (como se especifica a continuación).

Para agregar un comando a una clave pública,

  1. Vaya a  Recursos >> Contraseñas 
  2. Seleccione la cuenta de usuario para la que desea agregar el comando y haga clic en  Agregar comando en Acciones clave.
  3. Se abre un cuadro de diálogo Agregar comando , donde puede agregar comandos para que se ejecuten en el siguiente formato. es decir, (comando="usr/local/bin/script.sh").

Para restringir hosts para una clave, haga clic en Agregar comando y proporcione el nombre o las direcciones IP de los hosts en el siguiente formato. es decir, (de = "host1/ip1,host2/ip2")

5.6 Editar archivo Authorized_keys

Puede obtener archivos de claves autorizadas de varias cuentas de usuario, editar el contenido clave y enviarlos a las cuentas de usuario respectivas desde PAM360.

Para hacer esto,

  1. Vaya a  la pestaña Recursos >> Contraseñas.
  2. Seleccione la cuenta de usuario requerida y haga clic en  Editar claves autorizadas desde Acciones clave.
  3. Se abre una ventana que muestra la lista de claves públicas en el archivo authorized_keys del usuario respectivo. Las claves que se administran con PAM360 están resaltadas.
  4. Ahora puede editar el contenido de las claves que se muestran y volver a implementarlas en las respectivas cuentas de usuario haciendo clic en el  botón Pulsar .

5.7 Eliminar claves

Cuando intenta eliminar las claves SSH del repositorio de PAM360, primero se desasocian automáticamente de sus cuentas de usuario. La eliminación de claves falla para las claves SSH que no están disociadas de todas sus cuentas de usuario.

Para eliminar las claves SSH:

  1. Vaya a la  pestaña Claves SSH >> Claves SSH.
  2. Seleccione las claves que desea eliminar.
  3. Haga clic en el  botón  Eliminar de la lista desplegable Más .
  4. Haga clic  en Aceptar en la ventana de confirmación.

6. Organice grupos de claves SSH para la gestión masiva

PAM360 brinda la posibilidad de crear grupos de recursos para facilitar la organización y realizar operaciones en masa. Puede asignar, eliminar o modificar el grupo de forma similar a trabajar con un solo recurso.

La lista de elementos disponibles en un grupo se enumera en sus respectivas pestañas. Puede profundizar en los elementos individuales haciendo clic en el nombre de un grupo.

6.1 Administración de grupos de claves SSH: Crear grupos de claves

Para crear un grupo de claves SSH:

  1. Vaya a  Claves SSH >> Grupo de claves
  2. Haga clic en el botón Agregar grupo. Será redirigido a la ventana Agregar grupo de claves.
  3. Introduzca el nombre del grupo. Tenga cuidado al elegir el nombre ya que no se puede editar más tarde.
  4. Puede elegir los recursos que se agregarán en un grupo de 2 maneras:
    • Por clave específica: seleccione las claves que se agregarán al grupo, individualmente.
    • Por criterios: sirve como agrupación clave dinámica. Deberá especificar los criterios exactos en función de los cuales desea crear el grupo. Aquí, tiene muchas opciones para elegir: puede buscar claves específicas en función de su nombre, tipo, longitud o creador, y filtrar la búsqueda de manera detallada en función de criterios como "contiene", "no no contiene", "es igual a" "no es igual", "comienza con" y "termina con". Haga clic en el botón Claves coincidentes en la esquina inferior derecha de la ventana para ver las claves correspondientes.
    • Nota: Si selecciona la opción Por criterio, las condiciones especificadas también se aplican a las claves que se descubren más adelante. Si alguna de esas claves coincide con los criterios, se incluirán automáticamente en el nuevo grupo.

  5. Haga clic en  Guardar.

Además, puede seleccionar directamente claves individuales desde la  pestaña Claves SSH >> Claves SSH y hacer clic en el botón Crear grupo para una creación de grupos más rápida.

6.2 Editar grupos de claves

Para realizar cambios en un grupo de claves existente:

  1. Vaya a  Claves SSH >> Grupo de claves.
  2. Haga clic en el  icono Editar presente en la esquina derecha de la vista de tabla.
  3. Puede cambiar el tipo de selección de clave y editar las claves disponibles en un grupo o agregar, modificar o eliminar los filtros aplicables a un grupo.

Una vez que realice cambios en el grupo y guarde, se mostrará un mensaje confirmando la actualización de los cambios.

Nota:  El nombre del grupo no se puede modificar. Sin embargo, puede agregar o modificar la descripción y la lista de claves disponibles en él.

6.3 Rotar claves de un grupo de claves

Para rotar todas las claves de un grupo de claves:

  1. Vaya a  Claves SSH >> Grupo de claves
  2. Seleccione los grupos de claves y haga clic en el  botón Rotar .

Será redirigido a la ventana Auditoría de rotación de claves donde se actualiza el estado de la rotación de claves.

6.4 Eliminar grupos de claves

Para eliminar un grupo de claves:

  1. Vaya a  Claves SSH >> Grupo de claves
  2. Seleccione los grupos de claves.
  3. Haga clic en el  botón Eliminar .

Aparecerá una ventana emergente para asegurarse de que se eliminarán los grupos seleccionados. Haga clic  en Aceptar para eliminar los grupos.

7. Operaciones misceláneas

7.1 Personalizar el directorio de inicio del usuario

Puede personalizar los directorios de inicio de los usuarios, es decir, la ubicación donde se implementará la clave pública. Para hacer esto:

Vaya a  Recursos >> Contraseñas .

  1. Haga clic en Editar ruta de usuario en el  menú desplegable Acciones clave .
  2. Introduzca la ruta modificada y haga clic en Guardar.

7.2 Exportar claves SSH

Para exportar archivos clave seleccionándolos de los recursos a los que están asociados:

  1. Vaya a la  pestaña Recursos >> Contraseñas en la GUI
  2. Haga clic en el nombre del recurso en el que se implementa la clave y haga clic en el  botón Exportar  .

Para exportar los archivos de claves seleccionando cada clave:

  1. Vaya a la  pestaña Claves SSH >> Claves SSH.
  2. Haga clic en el ícono Exportar clave SSH disponible en la esquina derecha de la vista de tabla correspondiente a la clave requerida.
  3. Seleccione la carpeta de destino y el nombre del archivo y haga clic en guardar.

Nota:  Incluso durante la exportación, las frases de contraseña utilizadas para proteger las claves siguen vigentes. Es decir, si las claves se van a utilizar en otro lugar, se deben proporcionar las frases de contraseña.

7.3 Auditorías de claves SSH

Las auditorías se generan cuando las claves SSH se asocian o rotan mediante PAM360. Estos informes están disponibles en la pestaña de claves SSH.

  1. Auditoría de asociación de claves: vea el resultado de las operaciones de asociación de claves espontáneas y programadas ejecutadas con PAM360
  2. Auditoría de rotación de claves: vea el estado de las operaciones de rotación de claves espontáneas y programadas ejecutadas con PAM360.

7.4 Ver historial de claves SSH

Con PAM360 puede ver el historial de cada clave SSH, desde el momento en que se creó o importó, y las rotaciones posteriores junto con las marcas de tiempo.

Para ver el historial de cualquier tecla:

  1. Vaya a la  pestaña Claves SSH >> Claves SSH.
  2. Seleccione una sola tecla.
  3. Haga clic en el botón Historial de claves.

7.5 Exportar informe de claves descubiertas

Un informe de las claves descubiertas se puede exportar como PDF o a una identificación de correo electrónico. Para exportar el informe:

  1. Vaya a la  pestaña Claves SSH >> Claves descubiertas en la GUI.
  2. Seleccione una sola tecla.
  3. Haga clic en el  botón Exportar  . Puede exportar el informe al sistema como archivo PDF o a las direcciones de correo electrónico deseadas.
    • PDF: exporte y guarde el informe de las claves descubiertas como PDF en el sistema.
    • Correo electrónico: especifique las direcciones de correo electrónico a las que se exportará el informe de las claves SSH detectadas.
Cima