Key Distribution Manager

Pro centralizaci, správu a synchronizaci autentizačních prostředků Public key infrastructure v prostředí Linux/UNIX je určený systém Key Distribution Manager (KDM). Uživatelé operačních systemů Linux/UNIX k SSH přihlášení typicky nevyužívají heslo, ale ověřují se pomocí svého privátního klíče, jehož veřejná část je nahrána na serveru.

V prostředí s KDM jsou privátní klíče generovány a bezpečně uchovány na straně serveru. Toto umístění umožňuje programově ohlídat minimální požadavky na sílu privátního klíče a jeho passphrase – např. minimální požadovaný počet znaků.

Podrobnější informace o tomto řešení naleznete na produktovém webu.

Základní funkce KDM

Centrální úložiště a autorita pro generování klíčů uživatelů
Vynucení síly passphrase dle definované politiky včetně časové platnosti klíče
Automatická synchronizace veřejné části klíče na koncové servery dle oprávnění uživatele v KDM. Stažení klíče v případě jeho exspirace nebo přegenerování.
Autentizace uživatele ke KDM s využitím PAM modulů či passphrase
Stažení privátního klíče do paměti SSH Agenta uživatele – ne na disk
Kontrola nastavení koncových serverů v pravidelných intervalech – sshd_config, úložiště klíčů atd.
Podpora sdílených účtů a neinteraktivních úloh
Prokázání reálné identity uživatele a logování činnosti

Přínosy zavedení KDM

Snížení nákladů na správu uživatelských účtů v operačních systémech typu Linux/UNIX
Snížení nákladů na správu autentifikačních prostředků – veřejné klíče
Urychlení práce uživatelů, kteří přistupují do OS serverů pomocí SSH nebo SCP
Kontrola nad generováním přístupových klíčů a vynucení síly passphrase
Posílení bezpečnosti pomocí centrální evidence klíčů s možností rychlé exspirace klíče v případě jeho kompromitace
Řízení účtů na základě autoritativní informace z jednoho místa
Sjednocení řízení účtů a distribuce klíčů do jediného procesu a rozhraní
Aktivní evidence účtů na jediném místě