我们有一个由60多个主机(solaris和linux)组成的设置。 我们希望开发/安装一个工具,帮助我们进行密码重置,帐户创build/删除,以及其他常见的用户帐户pipe理任务。
我们把webmin,puppet和AD-integration视为潜在的解决scheme。 但是要么他们太昂贵,有太多漏洞(漏洞),或者我们的架构不允许这样的部署。 所以我们还在寻找。
我们的要求是 – 1.免费,最好是oss。 2.不需要有networking用户界面。 可以是一个简单的库/ api,我们可以用它来编写一个用户pipe理工具。 3.与Linux和solaris主机一起工作。
你基本上有两个select:
1可以通过使用诸如Puppet , Chef , CFEngine等工具来完成。
这些工具允许您创build适用于所有节点的configuration,但使用这些工具来pipe理用户的缺点是您无法集中设置密码(每个节点都有自己的用户,并有自己的密码和自己的过期时间),您不能轻松更改用户组 – 您可以添加到组,但不一定通过configuration删除组。
2通常通过创buildLDAP基础结构(可选地使用Kerberos)来完成。
集中authentication意味着用户在任何地方都拥有相同的密码,并且组很容易改变。
您可以重新使用现有的基础设施(如Active Directory)或设置新的LDAP基础结构。 一个值得考虑的系统是FreeIPA 。 这集成了LDAP,Kerberos和可选的DNS。 对于Linux客户端,它通过脚本提供简单的设置,而对于Solaris客户端,只需将它们设置为LDAP(和可选的Kerberos)客户端即可。 FreeIPA实施的政策,您可以设置密码/帐户到期和密码的复杂性。
FreeIPA还可以提供与Active Directory的单向或双向同步。
你想拥有一个集中的数据存储器来获取所有机器访问的信息,或者你想在每台机器上本地(也可以独立)configuration它吗?
如果是前者,则可能需要调查LDAP或Active Directory集成; 这将确保在中央目录中更改的密码立即反映在连接到它的所有机器上。
如果是后者,那么木偶或cfengine就是你最好的select。 特别是cfengine几乎可以在任何地方(绝对在Linux和Solaris主机上)运行,并且可以让您轻松创build和pipe理用户。 以下是熟悉cfengine 的快速入门指南 。
另外,在提问时指定约束条件将有助于您获得更有build设性的答案。 你的架构如何防止使用哪些潜在的解决scheme? 如果你列出了你已经尝试过的以及为什么它不起作用,那么人们就会知道避免指导你走向没有结果的path,或者能够帮助你解决遇到的问题。