Як ми можемо підтримувати локальні кореневі акаунти та мережеві облікові записи користувачів? Чи існує активне рішення типу каталогів, яке керує ними з центрального місця?
Як ми можемо підтримувати локальні кореневі акаунти та мережеві облікові записи користувачів? Чи існує активне рішення типу каталогів, яке керує ними з центрального місця?
Відповіді:
Одним із центральних компонентів Active Directory є LDAP, який доступний у Linux у вигляді OpenLDAP та 389DS (та деяких інших). Також інший основний компонент Kerberos випускається у формі MIT Kerberos та Heimdal . Нарешті, ви навіть можете підключити свої машини до AD.
sudoers
правилами (або обома).
Ви можете спробувати з лялькою для управління користувачем:
Навіщо використовувати лялечку для управління обліковими записами користувачів? (а не NIS, LDAP тощо)
Однією з переваг управління обліковими записами користувачів у лялькових є той факт, що він децентралізований. Кожен обліковий запис користувача - це лише звичайний обліковий запис користувача на керованому сервері. Немає нічого особливого в створенні облікових записів користувачів маріонетки, крім того, що вони були створені маріонеткою, а не адміністратором людини. Приємно в цьому те, що якщо головний хост помирає, ми не втрачаємо автентифікацію. Це означає, що наш сервер лялькових майстрів (або сервер NIS / LDAP) не потребує особливих вимог до безперервного часу. Якщо станеться надзвичайна ситуація, ми можемо зосередитись на тому, щоб підняти наші виробничі сервери та зосередитись на тому, щоб підняти лялькового майстра на основі «за потребою». Мінусом цього є те, що маріонетка не обов'язково реально розроблена для управління «нормальними» обліковими записами користувачів входу (на відміну від системних облікових записів). Найбільшим способом цього є те, хоча ви можете встановити пароль у ляльковому, маріонетка постійно відстежує налаштування системи (добре), і якщо він помітить, що пароль змінився, він скине його. (погано) Я не хочу контролювати паролі користувачів у нашій мережі, тому повинен бути спосіб встановити пароль і перешкодити маріонетному контролювати цей пароль. На щастя, як тільки ви з’ясуєте трюк, це насправді дуже просто. Але спочатку давайте вийдемо з визначення деяких визначень.
Як згадує SvenW, існує 389DS і Kerberos. Починаючи з RHEL 6.2, Red Hat включив IPA в дистрибуцію (і, таким чином, є і в CentOS). Це повний набір управління ідентифікацією, який включає 389DS та Kerberos, з керованим політикою контролем автентифікації та авторизації та, можливо, DNS. Він навіть може бути налаштований на односторонню або двосторонню синхронізацію з Active Directory.
IPA в значній мірі вимагає SSSD на хостах RHEL, але він працює без нього. Я навіть перевірив підключення Solaris 10 до IPA (працює, але трохи химерно). IPA досить простий у налаштуванні для хостів RHEL.
Це засновано на проекті FreeIPA .
Для ваших мережевих облікових записів користувачів OpenLDAP, як, згаданий SvW.
Також слід переглянути "Системи управління конфігурацією" для управління локальними обліковими записами та всім іншим на своїх серверах. Погляньте на CFEngine, Bcfg2, Puppet та Chef. Якщо ви використовуєте AWS, у них є Chefy з OpsWorks.
Якщо вам дійсно потрібно керувати 100+ серверами, у вас є 10 Sysadmins або ви використовуєте програмне забезпечення Configuration Management.
Це може бути очевидною відповіддю, але "використовувати активний каталог". Вам потрібно трохи змінити нашу схему AD, включити специфічні поля unix, але як тільки ви це зробите, у вас є єдиний каталог усіх ваших облікових записів користувачів, який працює на крос-платформі.
Можливо, менш корисно, якщо ви є лише магазином Unix - але я насправді не бачив багатьох із них. Але AD насправді є досить хорошим з'єднанням ключових елементів LDAP та Kerberos. Насправді я вважаю це трохи іронічним.
Але те, що ви отримаєте "безкоштовно", - це крос-платформні акаунти та інтеграція Kerberos, так що ви можете здійснювати експорт NFSv4, застосовуючи ACL-файли "CIFS-розпізнавання" та кріплення NFS krb5i / p із сильною (ер) аутентифікацією користувача.