pipe理员如何在数百台Linux服务器上维护用户帐户?

如何处理数百个RHEL服务器,我们如何维护本地root帐户和networking用户帐户? 是否有一个主动目录types的解决scheme,从一个中央位置pipe理这些?

Active Directory的一个中心组件是LDAP,它在Linux上以OpenLDAP和389DS (以及其他)的forms提供。 此外,另一个主要组件Kerberos以MIT Kerberos和Heimdal的forms提供。 最后,你甚至可以把你的机器连接到AD。

你可以尝试用puppet来pipe理用户:

为什么使用Puppet来pipe理用户帐户? (而不是NIS,LDAP等)

在傀儡pipe理用户帐户的好处之一是它是分散的事实。 每个用户帐户只是受pipe服务器上的普通用户帐户。 用户帐号创build的东西除了由傀儡创build而不是由pipe理员创build外,没有什么特别之处。 关于这一点的好处是,如果主要主机死亡,我们不会失去authentication。 这意味着我们的puppetmaster服务器(或NIS / LDAP服务器)不需要任何特殊的正常运行时间要求。 如果发生紧急情况,我们可以把重点放在让我们的生产服务器上,把注意力集中在“傀儡主”上。 不利的一面是,木偶不一定是真正用于pipe理“正常”login用户帐户(而不是系统帐户)。 最大的出路在于,尽pipe你可以在puppet中设置密码,puppet会持续监视系统设置(好),如果注意到密码已经改变,将会重置它。 (坏)我不想监视我们networking上的用户密码,所以需要设置一个密码的方法,让木偶停止监视这个密码。 幸运的是,一旦你弄清楚了这个技巧,这其实很简单。 但首先,让我们来定义一些定义。

http://docs.puppetlabs.com/pe/2.5/console_auth.html

正如SvenW所说,有389DS和Kerberos。 从RHEL 6.2开始,Red Hat在发行版中包含了IPA (因此也在CentOS中)。 这是一个完整的身份pipe理套件,包含了389DS和Kerberos,基于策略的身份validation和授权控制,以及可选的DNS。 它甚至可以configuration为与Active Directory进行单向或双向同步。

IPA几乎需要RHEL主机上的SSSD,但是它没有它。 我甚至testing过将Solaris 10连接到IPA(工作,但有点费劲)。 IPA对于RHEL主机的安装非常简单。

这是基于FreeIPA项目。

为您的networking用户帐户OpenLDAP像SvW提到的。

您还应该查看“configurationpipe理系统”来pipe理您的本地帐户以及您服务器上的其他所有内容。 看看CFEngine,Bcfg2,Puppet和Chef。 如果你使用的是AWS,他们有一个与OpsWorks的Chefy的东西。

如果您确实需要pipe理100多台服务器,那么要么有10个系统pipe理员,要么使用configurationpipe理软件。

这可能是一个明显的答案,但“使用活动目录”。 您需要稍微修改我们的AD架构,以包含特定于unix的字段,但是一旦这样做,您就拥有了一个跨平台的所有用户帐户的单个目录。

如果你是一家只有Unix的商店,那么可能没那么有用 – 但是我没有看到其中的很多。 但AD实际上是LDAP和Kerberos关键元素的一个很好的网格。 其实我觉得有点讽刺

但是免费获得的是跨平台账户和Kerberos集成,因此您可以通过强大的(er)用户身份validation来执行应用“CIFS识别”ACL和krb5i / p NFS安装的NFSv4导出。