+1 Avec le bastion Wallix on peut proxyfier tous les flux d'admin et notamment les flux SSH. Si mes souvenirs sont bons, d'après la norme PCI-DSS une seule 2FA est nécessaire. Celle-ci peut être faite au moment de l'authentification sur le Bastion.
Une fois sur le Bastion, en fct des privilèges les users ont accès aux différentes ressources sans 2FA. Le mar. 13 avr. 2021 à 10:47, Alain Bieuzent <alain.bieuz...@free.fr> a écrit : > Salut Mickael, > > Regarde du côté de Wallix + OneLogin ( > https://www.onelogin.com/partners/technology-partners/wallix). > > A+ > > Le 13/04/2021 10:28, « Mickael Hubert » <frnog-requ...@frnog.org au nom > de mick...@winlux.fr> a écrit : > > Bonjour à tous, > Actuellement pour prendre la main sur nos serveurs (SSH), nous nous > connectons à des accès VPN, il y a X profils (Ex: admin, développeurs, > etc > ..) et chaque profil n'a accès qu'à ce qu'il a besoin. > Mais dans le cadre de notre compliance PCI-DSS, il nous manque 2 > points à > valider, l'un d'eux est la mise en place du 2FA sur nos accès SSH > justement. > Bon le truc, c'est qu'on ouvre 1001 fenêtres quand on travaille sur un > serveur ;) > Si je dois à chaque fois taper le 2FA ça va vite devenir chiant... sans > parler du timeout d'inactivité de la session SSH. > > Auriez-vous des solutions "plus user friendly" ? > J'avais imaginer mettre en place un bastion, mais bon ouvrir 1001 > sessions > avec 2FA sur le bastion ou sur les serveurs en direct, ça revient au > même > pour moi. > A moins qu'il existe un bastion qui te demande le 2FA à la première > connexion, puis plus après pour les autres sessions que tu pourrais > ouvrir > ... > Peut-être du 2FA en hard (avec une clé)... > > merci d'avance pour votre aide > ++ > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ > > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
