我正在寻找一种干净的方式来集中用户pipe理。 设置:
要求(希望和期望):
pipe理员用于pipe理用户帐户,密码和每个用户有权访问的计算机列表的单个位置。 (可能是团体)不一定是花式的。
SSH的单点login:用户应该能够从机器Alogin到机器B,而无需重新input他/她的密码。
快速谷歌search给我指向OpenLDAP和Kerberos,但我不知道从哪里开始,每个解决scheme实际解决什么问题。 走哪条路? 我很想find一个关于这个主题的清晰的教程。 (或者我问“一个错误的问题”?)
Google让你走上了正轨。 理想情况下,您希望两个LDAP用于中央用户pipe理,Kerberos用于增加安全性和SSO。
单独使用LDAP将使您获得集中的用户pipe理权限,但用户仍然需要重新进行每个正在连接的服务的身份validation。 这就是Kerberos进入哪个版本的客户端授权用户访问其他服务的权证。
对于Kerberos,您需要一个稳定的同步时间源。 所以我会开始设置正确的NTP,DHCP和DNS。 然后configuration您的客户端工作站从DHCP获取他们的NTP。 一旦你知道你有一个稳定的时间源,你可以设置LDAP和Kerberos服务器来提供必要的目录服务。
我发现这个Spinlock指南非常好。 我已经使用它们为大约30个开发人员的开发办公室build立了一个SSO环境,并提供ssh ticket转发。 这里面有很多不同的组件,这对于pipe理来说有一些负担 – 你需要一个好的LDAP客户端,比如用于用户维护的Apache Directory Studio。
如果在你的企业中有一个活动目录,类似的(Google for Likewise Open,serverfault不会让我发布多个链接)现在有一个值得关注的SSO解决scheme的开源版本。 它也支持ssh ticket转发。