我正在运行10台执行不同types工作的Linux机器。 机器被configuration为使用LDAPauthentication,因此当一个用户在slapd中configuration时,他可以在所有机器上login。 为了使维护更容易,我想在slapd中创build一个root帐户,所以我可以在安装应用程序等时使用它来代替本地root帐户,但我不确定如何执行此操作。 创build一个名为root和gid / uid 0的用户就足够了吗? 应该以某种方式禁用本地根?
我完全意识到,从安全angular度来看,这通常不是一个好主意,但是如前所述,这是一个特例。
有一个UID = 0 / GID = 0帐户应该是足够的。
保持本地root用户帐户不变,就好像LDAP服务器或networking出现问题一样,您将需要“紧急访问”。 另外,我build议LDAP服务器本身不要依赖于LDAPauthentication(鸡与鸡蛋的情况)。
确保你使用的是SSL / TLS。
我也强烈build议不要这样做。
在LDAP中使用sudo而不是root帐户。 这也会给你logging他们做什么的根。
和+1使用木偶来pipe理服务器,并让puppet在所有的服务器上维护/ etc / sudoers的本地拷贝。
有10台服务器,我会考虑设置Puppet并使用它来pipe理应用程序和configuration。
这是更不容易出错,并创build可重复的configuration。