> Le 11 juin 2021 à 16:02, Benoît Grangé <benoit.gra...@gmail.com> a écrit :
>
> Mais comment gérez-vous les comptes de 'dernier recours', les comptes
> 'Administrator", les mots de passe 'enable' de vos nombreux d'équipements
> pour qu'ils restent un tant soit peu confidentiels, qu'ils soient
> renouvelés quand un admin s'en va, et que cela supporte une mise à
> l'échelle raisonnable ?
>
> Avez vous un "cahier bleu" (Paul... si tu me lis) , un KeePass, une vraie
> solution de PAM qui ne vous coûte pas un bras ?
J’ai eu à utiliser pass (https://www.passwordstore.org/) dans une vie
précédente, je ne le recommanderais pas car on a eu plusieurs petites galères
d’administration.
J’ai vu des gens tout mettre dans un fichier, chiffré avec ansible vault, et
mis dans un git. Le retour était négatif s’il y a bon nombre de credentials à
écrire, et/ou que plusieurs personnes doivent faire des modifs.
Mes 2 préférés pour le moment sont Netbox (un IPAM/DCIM qui propose aussi de
gérer des ‘secrets’), ou un Key-Value Store type Hashicorp Vault.
Pour la mise à jour, tu couples n’importe lequel de ces éléments avec un outil
de configuration type playbook ansible, et le tout est joué.
--
Grégory
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
