我们是RHEL,Solaris,Windows 2003和Windows 2008服务器混合使用的一个相对较小的商店(就系统pipe理员而言) 总共约200台服务器。
对于我们的pipe理员帐户(Linux中的root和Windows中的admnistrator ),我们有一个密码scheme,取决于数据中心位置和服务器的其他一些logging的属性。
在Linux上,我们目前的做法是创build一个共享的非特权帐户,我们可以findroot 。 在基于Windows的系统上,我们创build了具有pipe理员权限的其他帐户。 这两个帐户共享相同的密码。
这被certificate是非常低效的。 当有人离开我们的商店时,我们必须:
我想知道是否有人在类似的环境可以build议一个更健全的方式来pipe理这些凭据。 一些相关信息:
任何想法或build议将不胜感激。 这个问题已经持续了一段时间,我终于想解决这个问题。
我会有一些build议是:
Windows AD连接的服务器可以使用组策略首选项(GPP)或计算机启动脚本通过组策略设置其本地pipe理员密码。 请参阅http://social.technet.microsoft.com/Forums/en-US/winserverGP/thread/b1e94909-bb0b-4e10-83a0-cd7812dfe073/
限制在Windows服务器上创build本地帐户,除非需要。 尽可能使用AD帐户。
使用LDAP for Linux计算机将pipe理员帐户validation到AD。 这有点简化了账户pipe理。 而当一个pipe理员离开只是在一个地方禁用,没有访问,那么你可以在你的闲暇时间清理Linux的一面。
在linux上使用/ etc / sudoers文件作为特定的pipe理员帐户,那么pipe理员不需要root密码。 这在你的实例中可能是好的,因为那么它们很less需要root密码,所以它可以被locking。 更新
保持根密码和本地pipe理员密码的安全性不是一般的知识。 一些密码保险柜有委派和logging,所以你可能甚至不需要重置密码,如果这个人从来没有访问它。
自动化密码重置过程的根和pipe理员帐户。 Linux和Windows都可以编写脚本来做到这一点,这样可以节省一些时间,而不是让它成为一个负担。
希望有所帮助。
你可以试试看看FreeIPA是否适合你。
您可以pipe理用户从中央位置访问主机的权限。 正如其他人所build议的,你可以看到sudo是否适合你的根级访问。 Freeipa支持LDAP中的sudoers,所以你不必在每个服务器上或通过木偶等来维护它。
Freeipa支持Linux,Solaris和Windows客户端。 您可能会失去某些ADfunction,而且我不确定Windows客户端还有哪些其他限制。
它具有复制function,所以可以避免SPOF。 后端是LDAP,因此您可以重复使用许多用于LDAP的工具,如备份脚本。
它支持基于主机的访问控制,所以你可以说“用户X只能login到Y服务器”。
它还提供了AD同步 。 我不是Windows的人,所以我不知道这意味着什么。
不要使用标准的pipe理员帐户。 在Windows的一面,为每个需要pipe理员权限的用户创build一个用户帐户和一个pipe理员帐户。 您可以使用任何工具来同步到UNIX。
如果有人离开,那么你只需要删除他们的用户和pipe理员帐户。
为了确保标准的pipe理员帐户,给它一个非常长和复杂的密码,然后确保任何一个人只有一半。 如果他们需要使用整个帐户,那么他们需要find另一半的人。
就我所能想到的那样安全。