Linux Directory Server与现有的本地帐户

我有大约50台运行RHEL和CentOS的服务器,都使用本地authentication。 我们将在一个单位的控制下最终完成这些任务,并且我们在这些系统中拥有大量的本地账户。 我不确定我是否想从现有Active Directory的LDAP中进行身份validation,或者使用类似CentOS Directory Server的方式,但是无论哪种方式。我可以将中央帐户映射到这些系统上的不同本地帐户吗? 我真的不想担心改变任何现有的权限或任何东西。

假设我在3个不同的系统上有joeuser1,并且他有一个不同的UID,他的组每个都有一个不同的GID。 有一种方法可以将它们与中央身份validation结合在一起吗?

如果您决定在整个组织中同步uids / gids,那么这样做会非常好,整个维护工作将变得更加容易。

这可以通过一种相对无痛的方式来实现:

  • 创build或configuration您的中央目录
  • 决定你想使用的uid / gid空间(确保它不重叠你现在使用的任何东西,不要重新映射只在主机本地的uid – 系统和守护进程帐户等)
  • 为每台机器安排维护时间
  • 准备脚本以在重新映射用户之后重置所有权; 像这样的东西曾经为我工作过一次:
    • find /path/to/what/has/to/be/preserved -printf "chown -c %u:%g \"%h/%f\"\n" > preserve
  • 切换到您的新目录服务
  • 删除或重新映射/ etc / passwd和/ etc / group的非系统部分
  • 通过运行生成的脚本恢复文件/目录所有权(sh保留将做)
  • 冲洗,重复,利润!

笔记:

  • 生成的脚本根本没有效率,因为它将一个文件的所有权一个一个地更改; 但是这应该是总体思路的一个很好的certificate。
  • 如果你有suid / sgid二进制文件和目录,把它们logging在脚本中,比如把printf子句改成“chown -c%u:%g \”%h /%f \“\ nchmod -c %m \“%h /%f \”\ n“

大多数身份validation系统使用UID和GID来映射用户。 所以如果他们要在多个地方出现,他们是相配的。 有一个中央目录服务的目的是为了避免多个位置。

UID重新映射是在小型站点上不太痛苦的事情之一,如果你正在处理更大的站点,那么它就成为强制性的,因为奖励(避免多个地方来pipe理事物)对)。

是的你可以。 configuration非常简单,而且相当不存在问题(只要保持时钟同步!)。

这样做的说明在RHEL部署指南中。

如果您有AD,我build议您使用它,因为我相信将Linux同步到AD可能比将Windows同步到AD之外更容易。

我推荐了这个产品几十次,但它完全救了我。 它被称为“ 同样开放” ( Openwise) ,它是免费且开放的源代码,它使您的机器能够对Active Directory进行身份validation。

UID / GID是散列,这使得它们在整个基础架构中是通用的。 通过实施,我几乎统一了我公司的所有authentication机制。 Shell访问,apacheauthentication,samba等等。而且由于我使用的是Active Directory,所有可以使用LDAP的authentication都可以对其进行authentication,所以现在我的用户帐户在机器,桌面,内部jabber服务器上是相同的,我们的SSL VPN集中器等等

我不能推荐它。