[BIZ] RE: [FRnOG] [TECH] Système pour gérer les mots de passe 'dernier recours' de vos équipements
Bonjour, Pour ce même besoin, on a construit notre propre solution. On avait plus d'un millier de secrets à gérer. Il gère le partage pour des équipes pour les secrets pro et le secret privé sont aussi accepté. On gère les droits de manière très fine (utilisateur, superviseur avec des droits granulaire) On voit qui y a accéder est quand, et depuis où. On peut recevoir une notification si un mot de passe est consulté, modifié (urgence) pour demander des comptes et le changer juste après si besoin. On peut affecter un mot de passe a un client (personne physique ou morale) pour retrouver l'ensemble des mots de passe. On gère aussi les équipes, les PJ (ex : notice, plan d'accès). Bien entendu c'est chiffré avec un salt différent selon plusieurs éléments. Par contre son objectif n'est pas de remplir les mots de passe dans votre navigateur, juste de gérer des secrets Puis après, on s'est un peu emballer. On a ajouté d'autres modules à notre dev comme un gestionnaire Kanban, un calendrier, un mail, un chat texte et vidéo et d'autres truc qui sont là ou qui sont en cours ou partielle a ce stade. Les gros modules sont les secrets et le Kanban qui permet vraiment pas mal de chose et on a encore une Todo énorme pour le pousser plus loin. Mais il y a déjà des workflows, des actions automatiques... On peut héberger cela dans notre Cloud ou chez soit :), c'est une instance dédiée par entreprise. Le soft ne sera lancé que fin d'année mais cela fait trois ans qu'il est en prod chez nous. Je peux organiser une petite démo pour ceux qui le souhaiterait. Si cela intéresse quelques personnes ici, on peut proposer de mettre à disposition deux ou trois serveurs gratuitement pour avoir des retours. On se réserve le droit de choisir qui et on limite le nombre d'utilisateurs. Le but étant d'obtenir des retours externes autres que celle de clients finaux, donc l'usage régulier est obligatoire. Deux ou trois ce n'est pas beaucoup mais nécessaire car on souhaite suivre et accompagner correctement pour avoir des retours efficients. Je ne dis pas qu'on n'en prendra pas après, mais là on se limite pour être dans le qualitatif même si c'est gratuit. Bonne semaine Xavier -Message d'origine- De : Benoît Grangé Envoyé : vendredi 11 juin 2021 16:03 À : frnog-tech Objet : [FRnOG] [TECH] Système pour gérer les mots de passe 'dernier recours' de vos équipements Bonjour à tous, j'imagine que vous avez une solution d'authentification centralisée (AAA, RADIUS, TACACS, AD, ...) pour tous les accès avec des comptes nominatifs pour vos équipements ou logiciels de vos infrastructures ou CPE clients. Mais comment gérez-vous les comptes de 'dernier recours', les comptes 'Administrator", les mots de passe 'enable' de vos nombreux d'équipements pour qu'ils restent un tant soit peu confidentiels, qu'ils soient renouvelés quand un admin s'en va, et que cela supporte une mise à l'échelle raisonnable ? Avez vous un "cahier bleu" (Paul... si tu me lis) , un KeePass, une vraie solution de PAM qui ne vous coûte pas un bras ? Au plaisir d'échanger, bon vendredi à tous ! -- *Benoît Grangé* Mobile: 06 58 58 05 59 --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: Re: [FRnOG] [TECH] Système pour gérer les mots de passe 'dernier recours' de vos équipements
Bonjour à tous, Ici, on utilise SecretServer (on-premise). Le prix est correct et on peut même intégrer une fonction de rotation des mots de passe en automatique sur tous les équipements et / ou faire en sorte que les techniciens se connectent sans accès aux mots de passes. Bonne journée, -- Cordialement, Best regards, __ Nicolas Simond Administrateur Systèmes et réseaux https://www.nicolas-simond.ch/ ‐‐‐ Original Message ‐‐‐ On Friday, June 25th, 2021 at 9:02 PM, Cedric Millet (pro) wrote: > Oui lockpass/lockself le fait (c'est du online pas de solution onprem, que > > je sache). Fonction monitor (c'est une option pour chaque fiche) qui envoie > > un email aux admin et manager qui ont acces a la fiche, des que quelqu''un > > accede a cette fiche . > > Sinon il y a la fonctionnalité pour que l'utilisateur ne puisse lire/copier > > le password (c'est une option pour chaque fiche), il faut qu'il utilise > > l'extension lockself sur son navigateur web qui auto remplit le champ. Pas > > toujours compatible avec des contraintes de prod où tu n'as pas forcement > > acces à la fois à l'equipement et à internet. > > Mais si tes users n'ont pas acces au password, alors tu n'as plus besoin de > > le changer dès qu'ils partent de la boite. > > Le ven. 25 juin 2021 à 18:12, Kévin GUERY via frnog frnog@frnog.org a > > écrit : > > > Bonjour, > > > > Il me semble que lockpass de lockself le fait mais à vérifier. > > > > Cordialement, > > > > GUERY Kévin, > > > > Le 2021-06-25T18:03:14.000+02:00, Aurélien Rouzaud < > > > > aurelien.rouz...@gmail.com> a écrit : > > > > Bonjour, > > > > Je me permets de rebondir sur ce mail pour préciser un besoin. > > > > On est d'accord que idéalement lors du départ d'un admin il faudrait > > > > pouvoir changer tous les passwords. Dans la vraie vie, c'est rarement > > > > faisable (ou du moins dans des structures n'ayant pas trop de ressources > > > > ...). > > > > Du coup il serait intéressant de ne changer que les secrets qui ont été > > > > éventés (un mot de passe admin local d'un équipement à été consulté > > > > explicitement). > > > > D'où ma question, avez vous connaissance de gestionnaires de mot de passe > > > > qui permettent cela : de garder privé un mot de passe et d'enregistrer à > > > > qui il à été divulgué explicitement et quand. > > > > Ce qui permettrait fortement de limiter le nombre de passwords à changer > > > > si ils ne sont jamais sortis du coffre fort. > > > > J'utilise Keepass (loin d'être génial mais je n'ai pas eu le choix du > > > > soft) et ce n'est pas possible avec cet outil : dès qu'on à la clé c'est > > > > open bar pour toute la base. > > > > Merci d'avance pour vos réponses, > > > > Cordialement, > > > > Aurélien > > > > Le ven. 11 juin 2021 à 16:05, Benoît Grangé benoit.gra...@gmail.com a > > > > écrit : > > > > Bonjour à tous, > > > > j'imagine que vous avez une solution d'authentification centralisée (AAA, > > > > RADIUS, TACACS, AD, ...) pour tous les accès avec des comptes nominatifs > > > > pour vos équipements ou logiciels de vos infrastructures ou CPE clients. > > > > Mais comment gérez-vous les comptes de 'dernier recours', les comptes > > > > 'Administrator", les mots de passe 'enable' de vos nombreux d'équipements > > > > pour qu'ils restent un tant soit peu confidentiels, qu'ils soient > > > > renouvelés quand un admin s'en va, et que cela supporte une mise à > > > > l'échelle raisonnable ? > > > > Avez vous un "cahier bleu" (Paul... si tu me lis) , un KeePass, une vraie > > > > solution de PAM qui ne vous coûte pas un bras ? > > > > Au plaisir d'échanger, bon vendredi à tous ! > > > > -- > > > > Benoît Grangé > > > > Mobile: 06 58 58 05 59 > > > > Liste de diffusion du FRnOG > > > > http://www.frnog.org/ > > Liste de diffusion du FRnOG > > http://www.frnog.org/ publickey - me+frnog@nicolas-simond.ch - 0x756F19C4.asc Description: application/pgp-keys signature.asc Description: OpenPGP digital signature
Re: Re: [FRnOG] [TECH] Système pour gérer les mots de passe 'dernier recours' de vos équipements
Oui lockpass/lockself le fait (c'est du online pas de solution onprem, que je sache). Fonction monitor (c'est une option pour chaque fiche) qui envoie un email aux admin et manager qui ont acces a la fiche, des que quelqu''un accede a cette fiche . Sinon il y a la fonctionnalité pour que l'utilisateur ne puisse lire/copier le password (c'est une option pour chaque fiche), il faut qu'il utilise l'extension lockself sur son navigateur web qui auto remplit le champ. Pas toujours compatible avec des contraintes de prod où tu n'as pas forcement acces à la fois à l'equipement et à internet. Mais si tes users n'ont pas acces au password, alors tu n'as plus besoin de le changer dès qu'ils partent de la boite. Le ven. 25 juin 2021 à 18:12, Kévin GUERY via frnog a écrit : > Bonjour, > > Il me semble que lockpass de lockself le fait mais à vérifier. > > Cordialement, > > GUERY Kévin, > > Le 2021-06-25T18:03:14.000+02:00, Aurélien Rouzaud < > aurelien.rouz...@gmail.com> a écrit : > > Bonjour, > > Je me permets de rebondir sur ce mail pour préciser un besoin. > On est d'accord que idéalement lors du départ d'un admin il faudrait > pouvoir changer tous les passwords. Dans la vraie vie, c'est rarement > faisable (ou du moins dans des structures n'ayant pas trop de ressources > ...). > Du coup il serait intéressant de ne changer que les secrets qui ont été > éventés (un mot de passe admin local d'un équipement à été consulté > explicitement). > D'où ma question, avez vous connaissance de gestionnaires de mot de passe > qui permettent cela : de garder privé un mot de passe et d'enregistrer à > qui il à été divulgué explicitement et quand. > Ce qui permettrait fortement de limiter le nombre de passwords à changer > si ils ne sont jamais sortis du coffre fort. > > J'utilise Keepass (loin d'être génial mais je n'ai pas eu le choix du > soft) et ce n'est pas possible avec cet outil : dès qu'on à la clé c'est > open bar pour toute la base. > > Merci d'avance pour vos réponses, > > Cordialement, > > Aurélien > > Le ven. 11 juin 2021 à 16:05, Benoît Grangé a > écrit : > > Bonjour à tous, > > j'imagine que vous avez une solution d'authentification centralisée (AAA, > RADIUS, TACACS, AD, ...) pour tous les accès avec des comptes nominatifs > pour vos équipements ou logiciels de vos infrastructures ou CPE clients. > > Mais comment gérez-vous les comptes de 'dernier recours', les comptes > 'Administrator", les mots de passe 'enable' de vos nombreux d'équipements > pour qu'ils restent un tant soit peu confidentiels, qu'ils soient > renouvelés quand un admin s'en va, et que cela supporte une mise à > l'échelle raisonnable ? > > Avez vous un "cahier bleu" (Paul... si tu me lis) , un KeePass, une vraie > solution de PAM qui ne vous coûte pas un bras ? > > Au plaisir d'échanger, bon vendredi à tous ! > > -- > *Benoît Grangé* > Mobile: 06 58 58 05 59 > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > > > > > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: Re: [FRnOG] [TECH] Système pour gérer les mots de passe 'dernier recours' de vos équipements
Bonjour, Il me semble que lockpass de lockself le fait mais à vérifier. Cordialement, GUERY Kévin, Le 2021-06-25T18:03:14.000+02:00, Aurélien Rouzaud a écrit : > Bonjour, > > Je me permets de rebondir sur ce mail pour préciser un besoin. > > On est d'accord que idéalement lors du départ d'un admin il > faudrait pouvoir changer tous les passwords. Dans la vraie vie, > c'est rarement faisable (ou du moins dans des structures n'ayant pas > trop de ressources ...). > > Du coup il serait intéressant de ne changer que les secrets qui ont > été éventés (un mot de passe admin local d'un équipement à > été consulté explicitement). > > D'où ma question, avez vous connaissance de gestionnaires de mot de > passe qui permettent cela : de garder privé un mot de passe et > d'enregistrer à qui il à été divulgué explicitement et quand. > > Ce qui permettrait fortement de limiter le nombre de passwords à > changer si ils ne sont jamais sortis du coffre fort. > > J'utilise Keepass (loin d'être génial mais je n'ai pas eu le choix > du soft) et ce n'est pas possible avec cet outil : dès qu'on à la > clé c'est open bar pour toute la base. > > Merci d'avance pour vos réponses, > > Cordialement, > > Aurélien > > Le ven. 11 juin 2021 à 16:05, Benoît Grangé > a écrit : > >> Bonjour à tous, >> >> j'imagine que vous avez une solution d'authentification >> centralisée (AAA, >> >> RADIUS, TACACS, AD, ...) pour tous les accès avec des comptes >> nominatifs >> >> pour vos équipements ou logiciels de vos infrastructures ou CPE >> clients. >> >> Mais comment gérez-vous les comptes de 'dernier recours', les >> comptes >> >> 'Administrator", les mots de passe 'enable' de vos nombreux >> d'équipements >> >> pour qu'ils restent un tant soit peu confidentiels, qu'ils soient >> >> renouvelés quand un admin s'en va, et que cela supporte une mise >> à >> >> l'échelle raisonnable ? >> >> Avez vous un "cahier bleu" (Paul... si tu me lis) , un KeePass, >> une vraie >> >> solution de PAM qui ne vous coûte pas un bras ? >> >> Au plaisir d'échanger, bon vendredi à tous ! >> >> -- >> >> *Benoît Grangé* >> >> Mobile: 06 58 58 05 59 >> >> --- >> >> Liste de diffusion du FRnOG >> >> http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Système pour gérer les mots de passe 'dernier recours' de vos équipements
Bonjour, Je me permets de rebondir sur ce mail pour préciser un besoin. On est d'accord que idéalement lors du départ d'un admin il faudrait pouvoir changer tous les passwords. Dans la vraie vie, c'est rarement faisable (ou du moins dans des structures n'ayant pas trop de ressources ...). Du coup il serait intéressant de ne changer que les secrets qui ont été éventés (un mot de passe admin local d'un équipement à été consulté explicitement). D'où ma question, avez vous connaissance de gestionnaires de mot de passe qui permettent cela : de garder privé un mot de passe et d'enregistrer à qui il à été divulgué explicitement et quand. Ce qui permettrait fortement de limiter le nombre de passwords à changer si ils ne sont jamais sortis du coffre fort. J'utilise Keepass (loin d'être génial mais je n'ai pas eu le choix du soft) et ce n'est pas possible avec cet outil : dès qu'on à la clé c'est open bar pour toute la base. Merci d'avance pour vos réponses, Cordialement, Aurélien Le ven. 11 juin 2021 à 16:05, Benoît Grangé a écrit : > Bonjour à tous, > > j'imagine que vous avez une solution d'authentification centralisée (AAA, > RADIUS, TACACS, AD, ...) pour tous les accès avec des comptes nominatifs > pour vos équipements ou logiciels de vos infrastructures ou CPE clients. > > Mais comment gérez-vous les comptes de 'dernier recours', les comptes > 'Administrator", les mots de passe 'enable' de vos nombreux d'équipements > pour qu'ils restent un tant soit peu confidentiels, qu'ils soient > renouvelés quand un admin s'en va, et que cela supporte une mise à > l'échelle raisonnable ? > > Avez vous un "cahier bleu" (Paul... si tu me lis) , un KeePass, une vraie > solution de PAM qui ne vous coûte pas un bras ? > > Au plaisir d'échanger, bon vendredi à tous ! > > -- > *Benoît Grangé* > Mobile: 06 58 58 05 59 > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Système pour gérer les mots de passe 'dernier recours' de vos équipements
Désolé pour le message précédent, Régalez-vous avec mes ids (c'est du test ^^) Si un admin peut supprimer mes emails. Ou me dire si je peux envoyer un "/delete my error" quelque part ... - Mail original - > De: "Benoît Grangé" > À: "Paul Rolland (ポール・ロラン)" > Cc: "FRnOG ML" > Envoyé: Vendredi 25 Juin 2021 16:39:28 > Objet: Re: [FRnOG] [TECH] Système pour gérer les mots de passe 'dernier > recours' de vos équipements > > Salut Paul, > > KeePass est un bon outil (quelquefois un peu rustique, un peu geek) > pour > gérer des mots de passe personnels, mais par contre je pense qu'il il > n'est > pas adapté pour les mots de passe partagés au niveau d'une équipe car > tout > le monde a accès à tous les mots de passe (ou alors on fait plein de > fichiers keepass avec des mdp maîtres différents), et on gère très > mal les > différentes versions. > > Teampasswordmanager est-il bien maintenu ? Avez vous une évaluation > de la > sécurité de la solution ? > > Ben > > Le sam. 12 juin 2021 à 13:20, Paul Rolland (ポール・ロラン) > > a écrit : > > > Hello, > > > > On Sat, 12 Jun 2021 00:32:55 +0200 > > Maxime Pauwels wrote: > > > > > Il existe pleins d'outils dans ta recherche. > > > KeePass, numéro 1 > > > > +1 pour Keypass/KeypassXC, mais il y a aussi teampasswordmanager > > qui est > > pas mal. > > > > Paul > > > > > > --- > > Liste de diffusion du FRnOG > > http://www.frnog.org/ > > > > > -- > *Benoît Grangé* > Mobile: 06 58 58 05 59 > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Système pour gérer les mots de passe 'dernier recours' de vos équipements
Salut Paul, KeePass est un bon outil (quelquefois un peu rustique, un peu geek) pour gérer des mots de passe personnels, mais par contre je pense qu'il il n'est pas adapté pour les mots de passe partagés au niveau d'une équipe car tout le monde a accès à tous les mots de passe (ou alors on fait plein de fichiers keepass avec des mdp maîtres différents), et on gère très mal les différentes versions. Teampasswordmanager est-il bien maintenu ? Avez vous une évaluation de la sécurité de la solution ? Ben Le sam. 12 juin 2021 à 13:20, Paul Rolland (ポール・ロラン) a écrit : > Hello, > > On Sat, 12 Jun 2021 00:32:55 +0200 > Maxime Pauwels wrote: > > > Il existe pleins d'outils dans ta recherche. > > KeePass, numéro 1 > > +1 pour Keypass/KeypassXC, mais il y a aussi teampasswordmanager qui est > pas mal. > > Paul > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > -- *Benoît Grangé* Mobile: 06 58 58 05 59 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Système pour gérer les mots de passe 'dernier recours' de vos équipements
Hello, On Sat, 12 Jun 2021 00:32:55 +0200 Maxime Pauwels wrote: > Il existe pleins d'outils dans ta recherche. > KeePass, numéro 1 +1 pour Keypass/KeypassXC, mais il y a aussi teampasswordmanager qui est pas mal. Paul --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Système pour gérer les mots de passe 'dernier recours' de vos équipements
Salut Benoit On Fri, 11 Jun 2021 16:02:51 +0200 Benoît Grangé wrote: > Avez vous un "cahier bleu" (Paul... si tu me lis) , un KeePass, une vraie > solution de PAM qui ne vous coûte pas un bras ? Je lis... merci du rappel ;) Paul --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Système pour gérer les mots de passe 'dernier recours' de vos équipements
Bonjour, On 6/11/21 5:15 PM, Jerome Lien wrote: Hello, Bitwarden_rs est une solution on_prem qui fait le taff Et maintenant son nouveau nom, vaultwarden [1]. Utilisé dans un container Docker, c'est magique pour moi :-) Nicolas [1]: https://github.com/dani-garcia/vaultwarden Jerome Le ven. 11 juin 2021 à 16:53, Gregory CAUCHIE a écrit : Le 11 juin 2021 à 16:02, Benoît Grangé a écrit : Mais comment gérez-vous les comptes de 'dernier recours', les comptes 'Administrator", les mots de passe 'enable' de vos nombreux d'équipements pour qu'ils restent un tant soit peu confidentiels, qu'ils soient renouvelés quand un admin s'en va, et que cela supporte une mise à l'échelle raisonnable ? Avez vous un "cahier bleu" (Paul... si tu me lis) , un KeePass, une vraie solution de PAM qui ne vous coûte pas un bras ? J’ai eu à utiliser pass (https://www.passwordstore.org/) dans une vie précédente, je ne le recommanderais pas car on a eu plusieurs petites galères d’administration. J’ai vu des gens tout mettre dans un fichier, chiffré avec ansible vault, et mis dans un git. Le retour était négatif s’il y a bon nombre de credentials à écrire, et/ou que plusieurs personnes doivent faire des modifs. Mes 2 préférés pour le moment sont Netbox (un IPAM/DCIM qui propose aussi de gérer des ‘secrets’), ou un Key-Value Store type Hashicorp Vault. Pour la mise à jour, tu couples n’importe lequel de ces éléments avec un outil de configuration type playbook ansible, et le tout est joué. -- Grégory --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Système pour gérer les mots de passe 'dernier recours' de vos équipements
Passbolt, open source, on prem De base gratuit, licence pour support et fonctions avancées > Le 12 juin 2021 à 00:36, Maxime Pauwels a écrit > : > > Bonjour, > > Il existe pleins d'outils dans ta recherche. > KeePass, numéro 1 > TeamPass pour les équipes > PassBolt l'avantage d'avoir son portail de mot de passe sur un serveur on prem > Et d'autres : > LastPass > Bitwarden > Et consorts. > > Maxime > > Télécharger BlueMail pour Android > >> Le 11 juin 2021 à 16:55, à 16:55, Gregory CAUCHIE a >> écrit: >> >> >>> Le 11 juin 2021 à 16:02, Benoît Grangé a >> écrit : >>> >>> Mais comment gérez-vous les comptes de 'dernier recours', les comptes >>> 'Administrator", les mots de passe 'enable' de vos nombreux >> d'équipements >>> pour qu'ils restent un tant soit peu confidentiels, qu'ils soient >>> renouvelés quand un admin s'en va, et que cela supporte une mise à >>> l'échelle raisonnable ? >>> >>> Avez vous un "cahier bleu" (Paul... si tu me lis) , un KeePass, une >> vraie >>> solution de PAM qui ne vous coûte pas un bras ? >> >> J’ai eu à utiliser pass (https://www.passwordstore.org/) dans une vie >> précédente, je ne le recommanderais pas car on a eu plusieurs petites >> galères d’administration. >> >> J’ai vu des gens tout mettre dans un fichier, chiffré avec ansible >> vault, et mis dans un git. Le retour était négatif s’il y a bon nombre >> de credentials à écrire, et/ou que plusieurs personnes doivent faire >> des modifs. >> >> Mes 2 préférés pour le moment sont Netbox (un IPAM/DCIM qui propose >> aussi de gérer des ‘secrets’), ou un Key-Value Store type Hashicorp >> Vault. >> >> Pour la mise à jour, tu couples n’importe lequel de ces éléments avec >> un outil de configuration type playbook ansible, et le tout est joué. >> >> -- >> Grégory >> >> --- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Système pour gérer les mots de passe 'dernier recours' de vos équipements
Bonjour, Il existe pleins d'outils dans ta recherche. KeePass, numéro 1 TeamPass pour les équipes PassBolt l'avantage d'avoir son portail de mot de passe sur un serveur on prem Et d'autres : LastPass Bitwarden Et consorts. Maxime Télécharger BlueMail pour Android Le 11 juin 2021 à 16:55, à 16:55, Gregory CAUCHIE a écrit: > > >> Le 11 juin 2021 à 16:02, Benoît Grangé a >écrit : >> >> Mais comment gérez-vous les comptes de 'dernier recours', les comptes >> 'Administrator", les mots de passe 'enable' de vos nombreux >d'équipements >> pour qu'ils restent un tant soit peu confidentiels, qu'ils soient >> renouvelés quand un admin s'en va, et que cela supporte une mise à >> l'échelle raisonnable ? >> >> Avez vous un "cahier bleu" (Paul... si tu me lis) , un KeePass, une >vraie >> solution de PAM qui ne vous coûte pas un bras ? > >J’ai eu à utiliser pass (https://www.passwordstore.org/) dans une vie >précédente, je ne le recommanderais pas car on a eu plusieurs petites >galères d’administration. > >J’ai vu des gens tout mettre dans un fichier, chiffré avec ansible >vault, et mis dans un git. Le retour était négatif s’il y a bon nombre >de credentials à écrire, et/ou que plusieurs personnes doivent faire >des modifs. > >Mes 2 préférés pour le moment sont Netbox (un IPAM/DCIM qui propose >aussi de gérer des ‘secrets’), ou un Key-Value Store type Hashicorp >Vault. > >Pour la mise à jour, tu couples n’importe lequel de ces éléments avec >un outil de configuration type playbook ansible, et le tout est joué. > >-- >Grégory > >--- >Liste de diffusion du FRnOG >http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Système pour gérer les mots de passe 'dernier recours' de vos équipements
Hello, Bitwarden_rs est une solution on_prem qui fait le taff Jerome Le ven. 11 juin 2021 à 16:53, Gregory CAUCHIE a écrit : > > > > Le 11 juin 2021 à 16:02, Benoît Grangé a > écrit : > > > > Mais comment gérez-vous les comptes de 'dernier recours', les comptes > > 'Administrator", les mots de passe 'enable' de vos nombreux d'équipements > > pour qu'ils restent un tant soit peu confidentiels, qu'ils soient > > renouvelés quand un admin s'en va, et que cela supporte une mise à > > l'échelle raisonnable ? > > > > Avez vous un "cahier bleu" (Paul... si tu me lis) , un KeePass, une vraie > > solution de PAM qui ne vous coûte pas un bras ? > > J’ai eu à utiliser pass (https://www.passwordstore.org/) dans une vie > précédente, je ne le recommanderais pas car on a eu plusieurs petites > galères d’administration. > > J’ai vu des gens tout mettre dans un fichier, chiffré avec ansible vault, > et mis dans un git. Le retour était négatif s’il y a bon nombre de > credentials à écrire, et/ou que plusieurs personnes doivent faire des > modifs. > > Mes 2 préférés pour le moment sont Netbox (un IPAM/DCIM qui propose aussi > de gérer des ‘secrets’), ou un Key-Value Store type Hashicorp Vault. > > Pour la mise à jour, tu couples n’importe lequel de ces éléments avec un > outil de configuration type playbook ansible, et le tout est joué. > > -- > Grégory > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Système pour gérer les mots de passe 'dernier recours' de vos équipements
> Le 11 juin 2021 à 16:02, Benoît Grangé a écrit : > > Mais comment gérez-vous les comptes de 'dernier recours', les comptes > 'Administrator", les mots de passe 'enable' de vos nombreux d'équipements > pour qu'ils restent un tant soit peu confidentiels, qu'ils soient > renouvelés quand un admin s'en va, et que cela supporte une mise à > l'échelle raisonnable ? > > Avez vous un "cahier bleu" (Paul... si tu me lis) , un KeePass, une vraie > solution de PAM qui ne vous coûte pas un bras ? J’ai eu à utiliser pass (https://www.passwordstore.org/) dans une vie précédente, je ne le recommanderais pas car on a eu plusieurs petites galères d’administration. J’ai vu des gens tout mettre dans un fichier, chiffré avec ansible vault, et mis dans un git. Le retour était négatif s’il y a bon nombre de credentials à écrire, et/ou que plusieurs personnes doivent faire des modifs. Mes 2 préférés pour le moment sont Netbox (un IPAM/DCIM qui propose aussi de gérer des ‘secrets’), ou un Key-Value Store type Hashicorp Vault. Pour la mise à jour, tu couples n’importe lequel de ces éléments avec un outil de configuration type playbook ansible, et le tout est joué. -- Grégory --- Liste de diffusion du FRnOG http://www.frnog.org/
