設(shè)置 SSH 密鑰管理
Foxpass 幫助用戶自助服務(wù)他們的 SSH 密鑰管理,并為服務(wù)器提供輕松訪問(wèn)服務(wù)。 此外���,F(xiàn)oxpass 還提供額外的功能,如臨時(shí)訪問(wèn)和基于模式的主機(jī)匹配。
如何通過(guò) Foxpass 配置主機(jī)訪問(wèn)
- 在當(dāng)前主機(jī)上運(yùn)行 Foxpass 安裝腳本�����。 然后�,請(qǐng)參閱左側(cè)的“Linux 配置”部分以獲取更多說(shuō)明��。
- 將腳本添加到啟動(dòng)腳本或 Chef 或 Puppet 等配置管理工具中�。 這樣,無(wú)論何時(shí)啟動(dòng)新實(shí)例,它都已經(jīng)配置了 Foxpass��。
- 按照“將 SSH 密鑰添加到 Foxpass”中的說(shuō)明從您的計(jì)算機(jī)生成并上傳 SSH 密鑰到 Foxpass����。 如果您已有公鑰��,則可以上傳現(xiàn)有的公鑰��。
- 確保您的用戶類型設(shè)置為“工程”�����,否則 SSH 密鑰管理功能將不可用�����。
此時(shí)�����,您應(yīng)該能夠使用上傳到 Foxpass 的 SSH 密鑰登錄到任何已配置的主機(jī)���。
3. 后續(xù)步驟:更多高級(jí)用戶的額外選項(xiàng)���。
- 設(shè)置自動(dòng)SSH Key過(guò)期�����。 轉(zhuǎn)到“配置”頁(yè)面并轉(zhuǎn)到“SSH 密鑰過(guò)期”面板以設(shè)置過(guò)期時(shí)間��。 當(dāng)用戶的 SSH 密鑰即將過(guò)期時(shí)�����,用戶將自動(dòng)收到一封電子郵件��,提示上傳新密鑰���。
- 添加一個(gè)“foxpass-sudo”組。 如果您想在主機(jī)上運(yùn)行“sudo”命令而無(wú)需重新輸入密碼���,請(qǐng)?jiān)诖颂巹?chuàng)建一個(gè)名為“foxpass-sudo”的組�。 根據(jù)需要添加您自己或需要輕松 Sudo 訪問(wèn)主機(jī)的任何其他用戶����。
- 管理你的組織。 管理員還可以從“更多操作”下拉菜單下的“用戶”頁(yè)面手動(dòng)管理其他用戶的 SSH 密鑰���。 管理員可以為特定工程用戶上傳�、啟用、禁用或一鍵禁用所有 SSH 密鑰��。
- 為臨時(shí)訪問(wèn)控制啟用主機(jī)組���。 主機(jī)組允許您授予用戶或組臨時(shí)或永久訪問(wèn)您的基礎(chǔ)設(shè)施的權(quán)限。 它們是在您的組織中實(shí)施最小特權(quán)原則的好方法�����。
- 與 API 集成以自動(dòng)訪問(wèn)���。 查看左側(cè)面板上的 API 端點(diǎn)�����。
設(shè)置 VPN
Foxpass 可以作為身份驗(yàn)證機(jī)制與您的 VPN 服務(wù)集成���。 我們還提供您可以運(yùn)行 VPN,它直接與 Foxpass 集成�。
如何將您的 VPN 與 Foxpass 集成
- 運(yùn)行 Foxpass VPN。 Foxpass 提供自動(dòng)與我們集成的VPN���。 在此處查看 AMI 或閱讀更多文檔或通過(guò)在此處查看 GitHub 自行構(gòu)建��。
- 將 Foxpass 與您現(xiàn)有的 VPN 集成��。 在左側(cè)面板的“LDAP 客戶端”下找到您的 VPN��,然后按照說(shuō)明進(jìn)行操作��。
- 有關(guān)將 Foxpass VPN 與 Mac 或 Windows 計(jì)算機(jī)集成的說(shuō)明���,請(qǐng)參閱左側(cè)面板上的“VPN 客戶端設(shè)置”部分。
- 嘗試使用您的 Foxpass 密碼登錄您的 VPN��。 如果您尚未設(shè)置 Foxpass 密碼�,請(qǐng)轉(zhuǎn)到此處進(jìn)行設(shè)置。
- 下一步��。 用于更高級(jí)用法的額外選項(xiàng)��。
- 與身份提供者集成���。 轉(zhuǎn)到“身份驗(yàn)證設(shè)置”頁(yè)面以啟用委托身份驗(yàn)證����。 這樣,用戶就可以在 VPN 中使用他們的常規(guī)密碼��。 要了解更多信息�,請(qǐng)閱讀與身份提供者集成。
- 為 2FA 啟用 Duo���。 閱讀 Foxpass VPN 文檔��,了解有關(guān)如何使用 Duo 啟用 2FA 的信息。 每當(dāng)用戶登錄 VPN 時(shí)�����,系統(tǒng)都會(huì)提示用戶批準(zhǔn)從他們的 Duo 應(yīng)用程序登錄��。
設(shè)置 Wi-Fi® 身份驗(yàn)證
Foxpass 提供 RADIUS 端點(diǎn)以允許基于用戶的登錄到您的 Wi-Fi����。 這增強(qiáng)了網(wǎng)絡(luò)中的安全性和可見性。
如何配置 RADIUS
- 在 Foxpass 上注冊(cè)您的網(wǎng)絡(luò)
- 在“RADIUS 客戶端”頁(yè)面上創(chuàng)建一個(gè) RADIUS 客戶端����。 然后���,復(fù)制 Foxpass RADIUS IP 地址和為該 RADIUS 客戶端條目創(chuàng)建的“秘密”。
- 按照左側(cè)面板“接入點(diǎn)設(shè)置”部分中針對(duì)您的接入點(diǎn)的說(shuō)明進(jìn)行操作�。 如果您沒(méi)有看到列出的接入點(diǎn),請(qǐng)聯(lián)系我們幫助您進(jìn)行設(shè)置��。
- 根據(jù)左側(cè)面板中“RADIUS 客戶端”部分中列出的說(shuō)明配置您的客戶端���。
- 嘗試使用您的 Foxpass 密碼登錄您的 Wi-Fi®��。 如果您遇到問(wèn)題��,請(qǐng)查看“RADIUS 日志”頁(yè)面以查看有關(guān)登錄嘗試的更多詳細(xì)信息���。
- 下一步。 用于更高級(jí)用法的額外選項(xiàng)���。
- 啟用 VLAN��。 您可能想要啟用額外的半徑屬性或配置 VLAN 分配���。 從以下頁(yè)面閱讀如何執(zhí)行此操作:?jiǎn)⒂?RADIUS 屬性和通過(guò) RADIUS 屬性啟用 VLAN。
與身份提供者集成
Foxpass 與您的身份提供者集成��,以在您的整個(gè)基礎(chǔ)設(shè)施中傳播 SSO。 我們還設(shè)置了與您的身份提供商的持續(xù)同步���,sfao 對(duì)您目錄的任何更改都會(huì)立即反映在 Foxpass 中�����。 沒(méi)有更多繁瑣的步驟��。 如果您希望用戶在網(wǎng)絡(luò)���、Wi-Fi®、VPN���、機(jī)器等環(huán)境中使用同一個(gè)密碼,請(qǐng)按照以下步驟進(jìn)行設(shè)置�����。
如何與您的身份提供者集成
- 轉(zhuǎn)到“目錄同步”頁(yè)面并找到您的主要身份提供者��。 根據(jù)需要啟用同步�。
- 您可以只同步用戶或組或同時(shí)同步它們。 同步平均每 10-20 分鐘運(yùn)行一次����。
- 用戶同步會(huì)自動(dòng)將新用戶添加到 Foxpass 或更新他們的任何進(jìn)一步信息�����。 在您的身份提供者中禁用或刪除的任何用戶都將在 Foxpass 中禁用���。
- Group sync 將根據(jù)您的身份提供者中的組成員身份在Foxpass 中創(chuàng)建和管理組成員身份。
- 您可以在添加憑據(jù)后從頁(yè)面檢查同步狀態(tài)����。
- 如果您沒(méi)有看到您的身份提供者列出,請(qǐng)聯(lián)系我們將其添加為來(lái)源����。
- 委托身份驗(yàn)證允許用戶在其主要身份提供者和 Foxpass 之間維護(hù)一個(gè)密碼。 在“身份驗(yàn)證設(shè)置”頁(yè)面的“密碼身份驗(yàn)證委托”面板中選擇您的身份提供者�����。
- 隨后的 LDAP 和 RADIUS 請(qǐng)求檢查您的身份提供者的密碼��,而不是 Foxpass 中的密碼��。 檢查 LDAP 或 RADIUS 日志以查看登錄嘗試是否成功。
- 注意:如果為他們的登錄打開 2FA�,F(xiàn)oxpass 不能總是與您的身份提供者集成。 如果您希望保持 2FA�����,但仍讓用戶在兩種服務(wù)中使用同一個(gè)密碼��,請(qǐng)閱讀以下有關(guān)啟用密碼同步的說(shuō)明�。
- 下一步。 用于更高級(jí)用法的額外選項(xiàng)�����。
- 啟用密碼同步��。 密碼同步會(huì)將對(duì)用戶 Foxpass 密碼的更改推送回身份提供者�。 這允許用戶保留一個(gè)密碼,并為其主要身份提供者啟用 2FA�����。 檢查“身份驗(yàn)證設(shè)置”頁(yè)面的底部面板以啟用密碼同步�����。 如果您沒(méi)有看到該面板�,請(qǐng)聯(lián)系我們以添加對(duì)您的身份提供商的支持。
與 Foxpass 的 API 集成
Foxpass 提供了一個(gè) API 來(lái)獲取日志�����、測(cè)試身份驗(yàn)證�����、管理權(quán)限等����。 右側(cè)面板上的 API 部分提供了完整的端點(diǎn)列表。
如何與 Foxpass API 集成
- 在此處創(chuàng)建 API 密鑰�����。 API 密鑰可以設(shè)置為“只讀”�,這意味著它們只能獲取數(shù)據(jù)而不能修改任何設(shè)置或信息。
- API 可以通過(guò)向組中添加或刪除用戶來(lái)幫助您實(shí)現(xiàn)訪問(wèn)自動(dòng)化�。 您還可以自動(dòng)下載和分析日志。 查看上方下拉菜單下的 API 參考部分����。
- 一些想法:
- 檢查 PagerDuty 以查看誰(shuí)在通話并將他們添加到 sudo 組的腳本
- 提取日志并檢查可疑活動(dòng)的腳本,根據(jù)需要?jiǎng)h除用戶訪問(wèn)權(quán)限
- 一個(gè)插件,當(dāng)用戶的 JIRA 工單獲得批準(zhǔn)時(shí)�,該插件會(huì)授予用戶主機(jī)組訪問(wèn)權(quán)限
