Size: a a a

DevOps — русскоговорящее сообщество

2020 December 29

GM

Georgii Marinov in DevOps — русскоговорящее сообщество
Georgii Marinov
щас попробую выцепить целиком {{ range .Alerts }} посмотрю что прилетит
templating error: template: :1: unexpected EOF”, буду пробовать подлезть иначе
источник

BT

Big Thug in DevOps — русскоговорящее сообщество
^ those, some being optional
источник

GM

Georgii Marinov in DevOps — русскоговорящее сообщество
@thordendal А ты можешь поделиться как ты разгруппировал алерты? Я как раз прыгнул на эту граблю двумя ногами)) Алерты прилетают с 2х разных алертменеджеров ,а в опсджени остается только 1 алерт
источник

a6

admin 666admin in DevOps — русскоговорящее сообщество
Timur
господа, я тут проектирую сесурити в своей организации, планирую для хранения пользователей заюзать какой-нибудь ldap, а стыковать его со всем остальным через OIDC типа keycloak. Вопрос: как правильно с этой т.з. организовать машинный доступ к сервисам? Хотелось бы какую-нибудь единую точку входа типа облачного 169.254.169.254, к которому можно было бы аттачить некоторые роли (ну и уже на них навешивать правила).

как это правильно делается в приличных домах?
SSO с PUM, сиемом, 2fa дансгардианом, радиусом, макацлами, блекджеком и шлюхами (насколько паранои хватит). На внутренний домен вешается просто редиректилка на авторизацю которая при заходе отдает что то неавторизованному клиенту и потом в зависимости от роли (можно в том же лдапе побить) отдает токен и после авторизации пускает туда куда роутит правило конкретной политики ролей (хош во влан, хош по-локейшну, можно чего угодно прикрутить).
источник

T

Timur in DevOps — русскоговорящее сообщество
admin 666admin
SSO с PUM, сиемом, 2fa дансгардианом, радиусом, макацлами, блекджеком и шлюхами (насколько паранои хватит). На внутренний домен вешается просто редиректилка на авторизацю которая при заходе отдает что то неавторизованному клиенту и потом в зависимости от роли (можно в том же лдапе побить) отдает токен и после авторизации пускает туда куда роутит правило конкретной политики ролей (хош во влан, хош по-локейшну, можно чего угодно прикрутить).
угу угу, ну тут всё приблизительно понятно. Вопрос скорее в сторону того, как аутентифицировать и авторизовать сервисы друг с другом. Условно говоря есть внутренний s3 и хотелось бы пускать конкретные сервисы в конкретные бакеты, при этом не запихивая в деплойменты секреты, а чтобы они генерились на лету. Т.е. такой знаешь STS на минималках (если я правильно понимаю для себя сущность STS)
источник

a6

admin 666admin in DevOps — русскоговорящее сообщество
Timur
угу угу, ну тут всё приблизительно понятно. Вопрос скорее в сторону того, как аутентифицировать и авторизовать сервисы друг с другом. Условно говоря есть внутренний s3 и хотелось бы пускать конкретные сервисы в конкретные бакеты, при этом не запихивая в деплойменты секреты, а чтобы они генерились на лету. Т.е. такой знаешь STS на минималках (если я правильно понимаю для себя сущность STS)
Токены одноразовые в голову приходят, погляди на pam модуль google 2fa
источник

i

inqfen in DevOps — русскоговорящее сообщество
никто кстати нормального pam модуля не видал для azuread?
источник

i

inqfen in DevOps — русскоговорящее сообщество
Я где-то нарывал один, но он в группы не умел
источник

i

inqfen in DevOps — русскоговорящее сообщество
Думал уж сам писать на питоне
источник

a6

admin 666admin in DevOps — русскоговорящее сообщество
Я этот модуль пытался допилить под radius линуховый, но потом забил болт
источник

a6

admin 666admin in DevOps — русскоговорящее сообщество
источник

a6

admin 666admin in DevOps — русскоговорящее сообщество
(Где-то у меня валяется, но допиливать надо, там траблы EAP-TLS для self signed, я не стал время тратить)
источник

T

Timur in DevOps — русскоговорящее сообщество
admin 666admin
Токены одноразовые в голову приходят, погляди на pam модуль google 2fa
ну pam это опять-таки пользовательская аутентификация, а мне нужны короткоживущие токены для сервисов, чтобы сервис при старте мог сходить куда-нибудь по хттп и получить свои доступы (в идеале вообще никак себя не идентифицируя). Т.е. крутится эта система в кубе, прилетел ей запрос, оно там посмотрело из какого пода прилетел запрос, сопоставило под с ролью и выдало ровно те привилегии, которые сконфигурированы для этого деплоймента
источник

T

Timur in DevOps — русскоговорящее сообщество
т.е. мне кажется, что мы чуть-чуть о разных вещах говорим
источник

a6

admin 666admin in DevOps — русскоговорящее сообщество
Timur
ну pam это опять-таки пользовательская аутентификация, а мне нужны короткоживущие токены для сервисов, чтобы сервис при старте мог сходить куда-нибудь по хттп и получить свои доступы (в идеале вообще никак себя не идентифицируя). Т.е. крутится эта система в кубе, прилетел ей запрос, оно там посмотрело из какого пода прилетел запрос, сопоставило под с ролью и выдало ровно те привилегии, которые сконфигурированы для этого деплоймента
апишка тебе нужна с одноразами с хранением их в редиске какой нибудь
источник

T

Timur in DevOps — русскоговорящее сообщество
admin 666admin
апишка тебе нужна с одноразами с хранением их в редиске какой нибудь
мне кажется, что мы сейчас изобретём что-то, чем полмира уже пользуется :)
источник

a6

admin 666admin in DevOps — русскоговорящее сообщество
может быть да
источник

a6

admin 666admin in DevOps — русскоговорящее сообщество
утром подумаю еще, а то голова уже слабо варит.
источник

V

Vlad in DevOps — русскоговорящее сообщество
К примеру json web token??
источник

V

Vlad in DevOps — русскоговорящее сообщество
Как пример?
источник