Jak radzić sobie z setkami serwerów RHEL, w jaki sposób możemy utrzymywać lokalne konta root i sieciowe konta użytkowników? Czy istnieje rozwiązanie typu active directory, które zarządza nimi z centralnej lokalizacji?
redhat
user-management
user-accounts
accounts
Ronaldo Nascimento
źródło
źródło
sudoers
reguł (lub obu).Możesz wypróbować marionetkę do zarządzania użytkownikiem:
http://docs.puppetlabs.com/pe/2.5/console_auth.html
źródło
Jak wspomina SvenW, istnieje 389DS i Kerberos. Od wersji RHEL 6.2 Red Hat zawarł IPA w dystrybucji (a więc także w CentOS). Jest to pełny pakiet zarządzania tożsamością, który zawiera 389DS i Kerberos, z opartą na zasadach kontrolą nad uwierzytelnianiem i autoryzacją oraz opcjonalnie DNS. Może być nawet skonfigurowany do jednokierunkowej lub dwukierunkowej synchronizacji z Active Directory.
IPA prawie wymaga SSSD na hostach RHEL, ale działa bez niego. Testowałem nawet podłączenie Solaris 10 do IPA (działa, ale trochę dziwnie). IPA jest dość prosta w konfiguracji dla hostów RHEL.
Jest to oparte na projekcie FreeIPA .
źródło
Dla twoich kont użytkowników sieci OpenLDAP jak wspomniano SvW.
Powinieneś także spojrzeć na „Systemy zarządzania konfiguracją”, aby zarządzać swoimi lokalnymi kontami i wszystkim innym na serwerach. Spójrz na CFEngine, Bcfg2, Puppet i Chef. Jeśli korzystasz z AWS, mają OpfyWorks.
Jeśli naprawdę potrzebujesz zarządzać ponad 100 serwerami, masz 10 Sysadminów lub korzystasz z oprogramowania do zarządzania konfiguracją.
źródło
To może być oczywista odpowiedź, ale „użyj Active Directory”. Musisz nieco zmodyfikować nasz schemat AD, aby uwzględnić pola specyficzne dla systemu Unix, ale kiedy to zrobisz, będziesz mieć jeden katalog wszystkich kont użytkowników, który działa na wielu platformach.
Być może mniej przydatny, jeśli jesteś sklepem tylko dla Uniksa - ale tak naprawdę nie widziałem wielu z nich. Ale AD jest w rzeczywistości dość dobrym połączeniem kluczowych elementów LDAP i Kerberos. To trochę ironiczne.
Ale to, co otrzymasz „za darmo”, to konta wieloplatformowe i integracja Kerberos, dzięki czemu możesz wykonywać eksport NFSv4, stosując listy ACL „rozpoznawane przez CIFS” i podłączenia NFS krb5i / p, z silnym (er) uwierzytelnieniem użytkownika.
źródło