40 votos

Cómo hacer administradores a mantener las cuentas de usuario a través de cientos de servidores linux?

Tratar con cientos de servidores red hat enterprise linux, ¿cómo podemos mantener el local de la root de cuentas de red y cuentas de usuario? Hay un active directory tipo de solución que gestiona estos desde una ubicación central?

37voto

Sven Puntos 51980

Un componente central de Active Directory LDAP, que está disponible en Linux, en forma de OpenLDAP y 389DS (y algunos otros). También, el otro componente principal de Kerberos está disponible en la forma de MIT Kerberos y Heimdal. Finalmente, usted se puede conectar sus máquinas a AD.

26voto

Daniel Puntos 414

Puedes probar con títeres para la gestión de usuario:

¿Por qué Utilizar Puppet para Administrar Cuentas de Usuario? (y no NIS, LDAP, etc)

Uno de los beneficios de la gestión de cuentas de usuario en el títere es el hecho de que es descentralizado. Cada cuenta de usuario es sólo una cuenta de usuario normal en el servidor administrado. No hay nada especial sobre el usuario cuentas títere crea que el hecho de que ellos fueron creados por títere y no por un administrador humano. Lo bueno de esto es que si el principal huésped muere, no perdemos la autenticación. Lo que significa que que nuestro puppetmaster servidor (o NIS/servidor LDAP) no necesita tener ningún especial tiempo de actividad de los requisitos. Si ocurre una emergencia, podemos centrarnos en llegar a nuestros servidores de producción, y se centran en conseguir el puppetmaster en un "como sea necesario". La desventaja de esto es que la marioneta no es necesariamente realmente diseñado para administrar la "normal" de inicio de sesión cuentas de usuario (en oposición a las cuentas del sistema). La manera más grande de este surge es que, aunque se puede establecer la contraseña de títeres, marionetas supervisa continuamente la configuración del sistema (bueno) y si se da cuenta de que la la contraseña ha cambiado, se restablecerá. (malo) yo no quiero monitor las contraseñas de los usuarios en nuestra red, por lo que hay que ser una forma de establecer un contraseña y títeres detener la supervisión de esta contraseña. Afortunadamente, una vez que averiguar el truco, esto es realmente muy fácil. Pero primero, veamos algunas definiciones de la forma.

http://docs.puppetlabs.com/pe/2.5/console_auth.html

5voto

James O'Gorman Puntos 3721

Como SvenW menciona, hay 389DS y Kerberos. Desde red hat enterprise linux 6.2, Red Hat han incluido IPA en la distribución (y por lo tanto es en CentOS demasiado). Esta es una completa suite de gestión de identidades que incorpora 389DS y Kerberos, con la política de control basado en la autenticación y autorización, y opcionalmente DNS. Incluso puede ser configurado para una o dos vías de sincronización con Active Directory.

IPA bastante requiere SSSD en RHEL hosts, pero funciona sin él. Incluso he probado a conectar Solaris 10 IPA (funciona, pero un poco incómoda). IPA es bastante sencillo para la instalación de red hat enterprise linux hosts.

Esto se basa en la FreeIPA proyecto.

1voto

Matías Puntos 173

Para su red de cuentas de usuario OpenLDAP como SvW mencionado.

Usted también debe mirar a "Configuración de los Sistemas de Gestión" para la gestión de sus cuentas locales y todo lo demás en sus servidores. Echa un vistazo a CFEngine, Bcfg2, Puppet, y el Chef. Si usted está usando AWS, tienen un Chefy cosa con OpsWorks.

Si usted realmente necesita para administrar 100+ servidores, 10 Administradores del sistema, o utilizar software de Administración de Configuración.

1voto

Sobrique Puntos 2194

Esto puede ser una respuesta obvia, pero 'el uso de active directory'. Usted necesidad de modificar el esquema de AD un poco, para incluir unix campos específicos, pero una vez que usted lo hace, usted tiene un único directorio de todas las cuentas de usuario que funciona la plataforma de la cruz.

Tal vez menos útil si eres un Unix sólo de la tienda - pero realmente no he visto muchos de esos. Pero el ANUNCIO es realmente un muy buen mallado de los elementos clave de LDAP y Kerberos. Me parece que poco irónico, en realidad.

Pero lo que vas a conseguir "gratis" es la cruz de cuentas de la plataforma, y Kerberos integración de manera que usted puede hacer NFSv4 las exportaciones de la aplicación de 'CIFS reconocido' Acl, y krb5i/p montajes NFS, con fuerte(er) la autenticación de usuario.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: