我的networking中有1000多台Linux / Unix(Solaris)服务器,我想实现某种集中式login服务器。 这样我就可以在一台服务器上创build用户,并且可以在我的networking中的任何服务器上login。 但是会有一些例外,我想实现像每个我不想让每个用户访问每个服务器。 像开发团队的人员不应该能够访问故障pipe理团队的服务器,反之亦然。
我不想使用LDAP。 我听说过Kerberos和RADIUS或Radius + SSH + LDAP。 请build议哪个更好的方法去。 我只想要中央化的用户pipe理和服务器访问pipe理。
感谢和问候Ramesh库马尔
你必须有一个中央的用户存储,这意味着某种目录服务。 这些日子意味着Active Directory,eDirectory,OpenLDAP或其他LDAP风格的服务器。 然后,中央服务器可以谈论不同种类的authentication协议,理解authentication服务迟早会与目录服务对话,并且目录服务可能正在说LDAP。 即使目录服务有它自己的API,情况也是如此,因为所有的东西都说LDAP,所以现在的应用程序通常都使用它。
当然,活动目录是最近做出的最简单的select,因为微软已经把它推向了无处不在,它满足了大多数需求。
我更喜欢eDirectory,因为它具有非常好的稳定性和可扩展性,比AD(对于客户端和服务器)更友好,并且具有无法被击败的复制模型。
Openldap(及其派生包括苹果的开放目录)比其他开源软件更便宜和可修改,但是我的印象是在大型部署中pipe理更加脆弱。
还有一些其他的LDAP服务器(比如Oracle Directory Server,它可能适合你的Sun盒子),但是我不太了解它们,所以不能提供详细的信息。 鉴于您似乎想要避免使用LDAP,您可能需要检查每个目录服务支持的Unix服务器的身份validation方法,并根据此决定作出决定。
实际上只有一个解决scheme:LDAP,除非你使用真正的传统路由:NIS,NIS +。
LDAP可以很好地与networking组一起工作,以设置哪些人可以访问哪些服务器, Fedora项目wiki就是这个主题。 您还可以在LDAP中保留sudoconfiguration,而且为了增加收益,现在已经有了webpipe理解决scheme, GOsa²是更好,更以Linux为中心的解决scheme之一。
也许只是告诉我们为什么你不想要LDAP,这样我们可以减轻你的问题…
有三种方法可以解决networking或服务器问题:
如果你的linux是红帽衍生产品,那么看看freeipa 。 然后,您可以轻松地获得一个理性的pipe理ldap + kerberos设置。 他们也有一个solaris客户端,希望Canonical中的某个人能够唤醒并释放必要的资源,以便让Ubuntu客户端在这个域中工作。