Oui lockpass/lockself le fait (c'est du online pas de solution onprem, que je sache). Fonction monitor (c'est une option pour chaque fiche) qui envoie un email aux admin et manager qui ont acces a la fiche, des que quelqu''un accede a cette fiche .
Sinon il y a la fonctionnalité pour que l'utilisateur ne puisse lire/copier le password (c'est une option pour chaque fiche), il faut qu'il utilise l'extension lockself sur son navigateur web qui auto remplit le champ. Pas toujours compatible avec des contraintes de prod où tu n'as pas forcement acces à la fois à l'equipement et à internet. Mais si tes users n'ont pas acces au password, alors tu n'as plus besoin de le changer dès qu'ils partent de la boite. Le ven. 25 juin 2021 à 18:12, Kévin GUERY via frnog <frnog@frnog.org> a écrit : > Bonjour, > > Il me semble que lockpass de lockself le fait mais à vérifier. > > Cordialement, > > GUERY Kévin, > > Le 2021-06-25T18:03:14.000+02:00, Aurélien Rouzaud < > aurelien.rouz...@gmail.com> a écrit : > > Bonjour, > > Je me permets de rebondir sur ce mail pour préciser un besoin. > On est d'accord que idéalement lors du départ d'un admin il faudrait > pouvoir changer tous les passwords. Dans la vraie vie, c'est rarement > faisable (ou du moins dans des structures n'ayant pas trop de ressources > ...). > Du coup il serait intéressant de ne changer que les secrets qui ont été > éventés (un mot de passe admin local d'un équipement à été consulté > explicitement). > D'où ma question, avez vous connaissance de gestionnaires de mot de passe > qui permettent cela : de garder privé un mot de passe et d'enregistrer à > qui il à été divulgué explicitement et quand. > Ce qui permettrait fortement de limiter le nombre de passwords à changer > si ils ne sont jamais sortis du coffre fort. > > J'utilise Keepass (loin d'être génial mais je n'ai pas eu le choix du > soft) et ce n'est pas possible avec cet outil : dès qu'on à la clé c'est > open bar pour toute la base. > > Merci d'avance pour vos réponses, > > Cordialement, > > Aurélien > > Le ven. 11 juin 2021 à 16:05, Benoît Grangé <benoit.gra...@gmail.com> a > écrit : > > Bonjour à tous, > > j'imagine que vous avez une solution d'authentification centralisée (AAA, > RADIUS, TACACS, AD, ...) pour tous les accès avec des comptes nominatifs > pour vos équipements ou logiciels de vos infrastructures ou CPE clients. > > Mais comment gérez-vous les comptes de 'dernier recours', les comptes > 'Administrator", les mots de passe 'enable' de vos nombreux d'équipements > pour qu'ils restent un tant soit peu confidentiels, qu'ils soient > renouvelés quand un admin s'en va, et que cela supporte une mise à > l'échelle raisonnable ? > > Avez vous un "cahier bleu" (Paul... si tu me lis) , un KeePass, une vraie > solution de PAM qui ne vous coûte pas un bras ? > > Au plaisir d'échanger, bon vendredi à tous ! > > -- > *Benoît Grangé* > Mobile: 06 58 58 05 59 > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ > > > > > --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
