Berurusan dengan ratusan server RHEL, bagaimana kita dapat mempertahankan akun root lokal dan akun pengguna jaringan? Apakah ada solusi tipe direktori aktif yang mengelola ini dari lokasi pusat?
redhat
user-management
user-accounts
accounts
Ronaldo Nascimento
sumber
sumber
sudoers
aturan (atau keduanya).Anda dapat mencoba boneka untuk mengelola pengguna:
http://docs.puppetlabs.com/pe/2.5/console_auth.html
sumber
Seperti yang disebutkan SvenW, ada 389DS dan Kerberos. Sejak RHEL 6.2, Red Hat telah memasukkan IPA dalam distribusi (dan karenanya juga dalam CentOS). Ini adalah rangkaian manajemen identitas lengkap yang menggabungkan 389DS dan Kerberos, dengan kontrol berbasis kebijakan atas otentikasi dan otorisasi, dan DNS opsional. Itu bahkan dapat dikonfigurasi untuk sinkronisasi satu arah atau dua arah dengan Active Directory.
IPA cukup banyak membutuhkan SSSD pada host RHEL tetapi berfungsi tanpa itu. Saya bahkan telah menguji menghubungkan Solaris 10 ke IPA (berfungsi, tetapi sedikit fiddly). IPA cukup mudah untuk setup untuk host RHEL.
Ini didasarkan pada proyek FreeIPA .
sumber
Untuk akun pengguna jaringan Anda, OpenLDAP seperti yang disebutkan SvW.
Anda juga harus melihat "Sistem Manajemen Konfigurasi" untuk mengelola akun lokal Anda dan segala sesuatu yang lain di server Anda. Lihatlah CFEngine, Bcfg2, Puppet, dan Chef. Jika Anda menggunakan AWS, mereka memiliki masalah Chefy dengan OpsWorks.
Jika Anda benar-benar perlu mengelola 100+ server, Anda memiliki 10 Sysadmin atau Anda menggunakan perangkat lunak Manajemen Konfigurasi.
sumber
Ini mungkin jawaban yang jelas, tetapi 'gunakan direktori aktif'. Anda perlu sedikit memodifikasi skema AD, untuk memasukkan bidang khusus unix, tetapi begitu Anda melakukannya, Anda memiliki direktori tunggal dari semua akun pengguna Anda yang bekerja lintas platform.
Mungkin kurang bermanfaat jika Anda hanya toko Unix - tetapi saya belum benar-benar melihat banyak dari itu. Tapi AD sebenarnya adalah penyambungan yang cukup baik dari elemen-elemen kunci LDAP dan Kerberos. Saya menemukan itu agak ironis sebenarnya.
Tetapi yang akan Anda dapatkan 'gratis' adalah akun lintas platform, dan integrasi Kerberos sehingga Anda dapat melakukan ekspor NFSv4 dengan menerapkan ACL yang diakui 'CIFS', dan krb5i / p NFS mounts, dengan otentikasi pengguna yang kuat (er).
sumber