Bagaimana cara menjaga agar akun pengguna tetap konsisten di beberapa mesin?

16

Saya sekarang memiliki Raspberry Pi yang menjalankan Debian Wheezy. Saya memiliki beberapa mesin (4 fisik, 2 virtual) duduk di sini dan saya ingin menyatukan akun pengguna pada mesin-mesin itu.

Mesin yang saya jalankan memiliki turunan Debian berikut diinstal pada mereka:

  • Debian Wheezy (armhf)
  • Stabil Debian (amd64)
  • Debian Tidak Stabil (amd64)
  • Ubuntu 14.04 (amd64)

Bagaimana saya bisa mengatur akun pengguna di semua mesin secara sama? Saya ingin nama, nama panjang, kata sandi, dan UID konsisten.

Di masa depan, saya ingin menyatukan bagian lain dari konfigurasi, mungkin

  • HTCondor
  • Mountpoints (Samba)
  • /etc/apt/sources.list
  • Pembaruan tanpa pengawasan

Karena saya menggunakan varian Ubuntu dan Debian yang sources.listberbeda , akan sedikit berbeda, tetapi akan sama pada setiap distribusi.

Apa yang akan menjadi pendekatan yang baik untuk ini?

users Martin Ueding
sumber
1
Anda harus mengatur semua pengguna sebagai ldappengguna.
Ramesh
1
@ Ramesh Apakah itu berarti bahwa pengguna hanya dapat masuk ketika ada koneksi jaringan?
Martin Ueding
Ya. Anda mungkin memerlukan koneksi jaringan untuk ldapbekerja. Tapi itu menghemat rasa sakit mengatur pengguna di semua mesin.
Ramesh
Apakah ada satu mesin yang selalu hidup dan dapat diakses melalui jaringan? Apakah ada satu mesin yang selalu hidup dan dapat diakses ketika Anda ingin mengubah kata sandi Anda?
Gilles 'SO- berhenti bersikap jahat'
1
@ramesh Anda dapat memiliki LDAP offline menggunakan SSSD .
Patrick

Jawaban:

14

Anda pada dasarnya memiliki 2 opsi.

  1. Gunakan sistem otentikasi lokal masing-masing mesin, dan singkirkan semua perubahan kredensial untuk semuanya.
  2. Gunakan server otentikasi terpusat.

1. Otentikasi lokal yang disinkronkan

Ada beberapa produk yang dapat melakukannya dengan mudah. Wayang , Koki , Ansible , dan Garam adalah beberapa yang lebih umum. Semua alat ini berada di bawah apa yang dikenal sebagai " Manajemen Konfigurasi ".

Pada dasarnya Anda akan memiliki repositori di mana Anda mendefinisikan kredensial otentikasi Anda sebagai kode. "Kode" akan sesederhana arahan yang menentukan nama pengguna, dan kata sandi hash. Anda kemudian akan menyinkronkan kode ini ke semua mesin Anda, dan menjalankan alat CM apa pun yang Anda pilih. Alat CM kemudian akan memperbarui kredensial otentikasi lokal masing-masing pengguna (juga membuat pengguna jika perlu).

Karena Anda mengatakan Anda ingin melakukan jenis konfigurasi lain juga, ini mungkin solusi yang lebih tepat.

2. Otentikasi terpusat

Bentuk paling umum dari otentikasi terpusat adalah LDAP. Menjalankan server LDAP mungkin tampak menakutkan, tetapi ada beberapa solusi paket yang bagus seperti FreeIPA yang membuatnya mudah dikelola.

Sekarang salah satu pemikiran pertama Anda mungkin: "Saya ingin otentikasi bekerja bahkan jika server pusat sedang down". Ini mudah dilakukan dengan menggunakan SSSD . Ketika pengguna pertama kali login ke server, SSSD berkonsultasi LDAP (atau kerbero jika dipekerjakan), dan jika kredensial valid, itu cache mereka di mesin lokal. Jika server LDAP tidak tersedia, ia kembali menggunakan cache-nya. Dengan demikian, selama pengguna telah login sekali, mereka akan dapat terus login jika LDAP tidak tersedia.

3. Kombinasi keduanya

Anda juga dapat menggunakan kombinasi dari dua solusi. Ini sangat umum di lingkungan perusahaan skala besar, tetapi dapat juga digunakan dalam skala kecil. Pada dasarnya Anda akan memiliki server otentikasi terpusat, dan Anda akan menggunakan alat CM untuk mengkonfigurasi klien untuk menggunakannya.

Patrick
sumber
Terima kasih banyak, itu seharusnya memberi saya poin awal yang cukup! :-)
Martin Ueding