服务器 Gind.cn
  1. 服务器 Gind.cn
  3. pipe理对多个linux系统的访问
Intereting Posts
如何使用iptables从源文件中删除第一个udp数据包? 堆叠交换机故障使用Nagios进行检查 生存软件审计 基于Windows的机器进行类似NRPE的检查 OpenVPN – 客户端stream量不完全通过VPN路由 在此服务器上找不到请求的url Apache显示它的工作原理,我的虚拟主机定义有什么问题? 如何检查Windows 2008/2012服务器上部署的许多SSL证书的到期详细信息 为什么在更新到limits.conf之后,redis会报告1024个文件的限制? 使用KVM和virt-install安装guest虚拟机之后的控制台 为什么sp_send_dbmail在SQL代理作业中失败? Google计算引擎实例上是否启用HTTP基本身份validation? ActiveDirectory Kerberos密钥表从Linux无法使用 IPv6和/ 64块分配 防火墙build议 – 防火墙后的一些共置服务器

pipe理对多个linux系统的访问

一个寻找的答案,但没有发现在这里…

长话短说:非营利织迫切需要现代化基础设施。 首先是find一个替代scheme来pipe理许多Linux主机上的用户帐户

我们有12个服务器(物理和虚拟)和大约50个工作站。 我们有500个这些系统的潜在用户。 多年来build立和维护这个系统的个人已经退休了。 他写了自己的脚本来pipe理这一切。 它仍然有效。 那里没有投诉。 然而,很多东西是非常手动和容易出错的。 代码是混乱的,更新后经常需要调整。 最糟糕的部分是几乎没有文件写入。 只有几个ReadMe和随机笔记可能会或可能不再相关。 所以维护成了一项艰巨的任务。

当前帐户通过每个系统上的/ etc / passwd进行pipe理。 更新通过cron脚本进行分发,以便在“主”服务器上添加帐户时更正系统。 有些用户必须能够访问所有系统(比如sysadmin账户),其他用户需要访问共享服务器,而其他用户可能需要访问工作站或者只能访问其中的一部分。

有没有一种工具可以帮助我们pipe理符合以下要求的帐户?

  • 最好是开源(即免费,因为预算是非常有限的)
  • 主stream(即维持)
  • 最好具有LDAP集成或可以与LDAP或AD服务接口进行用户validation(在不久的将来需要将帐户与其他办公室进行集成)
  • 用户pipe理(添加,过期,移除,locking等)
  • 允许pipe理每个用户有权访问哪些系统(或一组系统) – 并非所有系统上都允许所有用户
  • 支持可能有不同homedit和mount的用户帐户,这取决于他们login的系统 。 例如
    • sysadminlogin到“主”服务器有main:// home / sysadmin / homedir并具有所有共享的挂载
    • sysadminlogin到工作站工作站将有nas:// user / s / sysadmin作为homedir(与上面不同)和可能有限的一组挂载,
    • 一个login客户将有他/她的homedir在不同的位置,并没有共享坐骑。
  • 如果有一个简单的pipe理界面,将是非常棒的。
  • 而如果这个工具是跨平台的(Linux / MacOS / * nix),那将是一个奇迹!

我搜查了网页,所以找不到合适的东西。 我们欢迎任何build议。 谢谢。

编辑:这个问题已被错误地标记为重复。 链接到答案只会谈到所有系统上都有同样的homedirs,而我们需要根据当前login的系统用户(MULTIPLE homedirs)有不同的homedirs。 另外访问只需要授予一些机器而不是全部。 Mods,请理解问题的全部范围,而不是仅仅将其标记为重复的点…

    FreeIPA可能是你正在寻找的。 这是到Linux什么Active Directory是Windows。 (如果你有一个异构的环境,它也可以和AD交谈,但是不应该用来直接pipe理Windows机器。

    红帽的文档 (他们称之为“身份pipe理”)非常全面和易于遵循,即使您不使用Red Hat衍生的系统,也应该大部分适用。

    我会build议一个好的本地顾问来评估你的情况的细节…

    真。

    可能还有其他的业务要求或细微的差别,这个论坛上的人可能不承认或投入 – 足以考虑。 一个专门的资源是你最好的select…否则,我们只是把产品推荐给你,这是一个很容易超出范围的简单问答。

    尽pipe如此, 我的方法是利用Microsoft Active Directory,并使用SSSD或LDAP绑定Linux系统。 FreeIPA在所有的Linux系统中都很好,但即使你说“非营利”,也不一定排除Windows。 您将会遇到Active Directory中的某处 。 您可能希望通过自动安装的主目录来扩充这个目录,但是谁在什么时候或哪里安装的细节不清楚。

    即使在我现在构build的99%的Linux私有云环境中,我仍然依靠Active Directory来简化pipe理和集中式身份validation。 组和访问权限很容易,密码策略和帐户老化很简单。 任何关于可维护性,思想共享和兼容性的担忧都包含在Microsoft解决scheme中。 复制是内置的,有很好的文档logging,而且这项技术有一些固有的未来发展。

    有一些细节从你原来的问题,虽然…

    • 环境中有哪些特定的Linux发行版? 版本是否一致?
    • 您是否需要与Macintosh系统相同级别的pipe理粒度(大多数组织不试图完全pipe理苹果电脑)?
    • 有远程用户吗?
    • 你提到“* nix” – 存在哪种types的* nixes?

    目前的系统工作但难以pipe理。 我猜还有其他的问题,如果一切都是手动完成的,那么pipe理这些服务器也是一样。 我会采取不同的方法,不要取代有用的东西(用户pipe理),并解决服务器的pipe理问题。

    我推荐使用cfengine http://cfengine.com/community (免费版)来“更新”系统pipe理,而不仅仅是用户pipe理。 这是一个很好的机会,因为你现在的系统非常像使用cfengine把configuration分发给服务器,你的情况是/ etc / passwd。 所以,而不是replace,你的脚本迁移到cfengine。 希望这个影响会很小,因为你仍然使用相同的/ etc / passwd。

    一旦你对cfengine感到满意,你可以build立更多的食谱来解决更多的问题,比如有一个全新的用户pipe理系统,并且你有工具来pipe理服务器上的configuration。

    为了帮助你开始,我发现这个链接http://explosive.net/opensource/cfpasswd/doc/cfengine.html ,显示如何分配/ etc / passwd和相关的文件。

    即使你想现在replace用户pipe理系统,你仍然需要一个pipe理工具来pipe理这些服务器。 最好有pipe理工具比以后更好,并在pipe理工具下重新configuration您的用户pipe理。

    只需添加几个快速的东西 –

    我一直在使用木偶在我的部署 – 类似的想法cfengine – http://puppetlabs.com

    这也可以做你的用户pipe理和一般configuration/服务器pipe理。

    如果您想尝试像Samba这样的多functionfunction,可以通过一些configuration来pipe理目录,也可以使用LDAP后端进行configuration。 Samba 4已经成熟了很多,实际上可以提供一个与Windows和Linux进行pipe理/authentication的集成环境。

    Samba与AD一起工作,或作为AD的替代品。

    还有一个叫Centrify的产品,我前一段时间看过。 我从来没有太多的,但我相信他们也有一个免费的/开源的版本。 如果我记得它有混合环境的潜力,提供Windows和Linuxpipe理,可能还有Mac。

    我会第二个顾问的build议。 这些部署可以非常快速地设置,但是一旦logging和configuration后便于维护。

    好运