Як я можу підтримувати кількість облікових записів користувачів на кількох машинах?

16

Зараз у мене є Raspberry Pi, який працює Debian Wheezy. У мене тут пару машин (4 фізичні, 2 віртуальних), і я хотів би об'єднати облікові записи користувачів на цих машинах.

На машинах, якими я керую, встановлені наступні похідні Debian:

  • Debian Wheezy (armhf)
  • Стабільний Debian (amd64)
  • Debian Unstable (amd64)
  • Ubuntu 14.04 (amd64)

Як я можу налаштувати облікові записи користувачів на всіх машинах однаково? Я хочу, щоб ім’я, довге ім’я, пароль та UID відповідали.

В майбутньому я б хотів уніфікувати інші частини конфігурації, можливо

  • HTCondor
  • Точки гори (Самба)
  • /etc/apt/sources.list
  • Без уваги оновлень

Оскільки я використовую різні варіанти Ubuntu та Debian, відмітка sources.listбуде трохи відрізнятися, але вона буде однаковою для кожного дистрибутива.

Який був би гарний підхід до цього?

users 
Мартін Удінг
джерело
1
Ви повинні налаштувати всіх користувачів як ldapкористувачів.
Рамеш
1
@Ramesh Це означатиме, що користувачі можуть входити в систему лише тоді, коли є мережне підключення?
Мартін Удінг
Так. Можливо, для ldapроботи вам може знадобитися мережеве з'єднання . Але це економить вас від налаштування користувачів на всіх машинах.
Рамеш
Чи є одна машина, яка завжди включена та доступна через мережу? Чи є одна машина, яка завжди включена і доступна, коли ви хочете змінити свій пароль?
Жил "ТАК - перестань бути злим"
1
@ramesh Ви можете мати офлайн-LDAP за допомогою SSSD .
Патрік

Відповіді:

14

У вас є 2 варіанти.

  1. Скористайтеся локальною системою аутентифікації кожної машини та висуньте зміни довіри для всіх.
  2. Використовуйте централізований сервер аутентифікації.

1. Синхронізована локальна аутентифікація

Існує кілька продуктів, які це легко досягти. Puppet , Chef , анзібль і Сіль деякі з найбільш поширених з них. Усі ці інструменти підпадають під те, що відомо як " Управління конфігурацією ".

В основному у вас є сховище, в якому ви визначаєте свої автентифікаційні дані як код. "Код" був би таким же простим, як і директива, яка вказує ім'я користувача та хешований пароль. Потім ви синхронізуєте цей код на всіх своїх машинах та запускаєте будь-який інструмент CM, який ви вибрали. Потім інструмент CM оновлює локальні облікові дані кожного користувача (при необхідності також створюючи користувача).

Оскільки ви сказали, що хочете робити й інші типи конфігурації, це може бути більш підходящим рішенням.

2. Централізована аутентифікація

Найпоширенішою формою централізованої аутентифікації є LDAP. Запуск сервера LDAP може здатися загрозливим, але є кілька хороших пакунків, таких як FreeIPA, які дозволяють легко управляти.

Тепер однією з ваших перших думок може бути: "Я хочу, щоб автентифікація працювала, навіть якщо центральний сервер не працює". Це легко досягти за допомогою SSSD . Коли користувач вперше входить у сервер, SSSD звертається до LDAP (або kerberos, якщо він використовується), і якщо облікові дані є дійсними, він кешує їх на локальній машині. Якщо сервер LDAP недоступний, він переходить до використання кешу. Таким чином, доки користувач увійшов один раз, він зможе продовжувати входити в систему, якщо LDAP недоступний.

3. Поєднання двох

Ви також можете використовувати комбінацію двох рішень. Це дуже часто зустрічається у великих масштабах корпоративного середовища, але їх можна використовувати і в невеликих масштабах. В основному у вас є централізований сервер аутентифікації, і ви використовуєте інструмент CM, щоб налаштувати клієнтів для його використання.

Патрік
джерело
Дуже дякую, що має дати мені достатньо вихідних точок! :-)
Мартін Удінг
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.