Frage Wie verwalten Administratoren Benutzerkonten auf Hunderten von Linux-Servern?


Umgang mit Hunderten von RHEL-Servern, wie können wir lokale Stammkonten und Netzwerkbenutzerkonten verwalten? Gibt es eine Lösung vom Typ Active Directory, die diese von einem zentralen Ort verwaltet?


35
2018-01-30 10:03


Ursprung




Antworten:


Eine zentrale Komponente von Active Directory ist LDAP, das unter Linux in Form von OpenLDAP und 389DS (und einige andere). Auch die andere Hauptkomponente Kerberos ist in Form von MIT Kerberos und Heimdal. Schließlich können Sie Ihre Maschinen sogar mit AD verbinden.


36
2018-01-30 10:04



Aus Gründen der Komplementarität, der Agent auf der Client-Seite, SSSD, sollte auch erwähnt werden. - fuero
Was ist mit dem root-Konto? - Daniel Serodio
@DanielSerodio: Das hängt von der Organisation und davon ab, wie sie den Root-Zugriff überhaupt handhaben. Für hunderte von Servern würde ich wahrscheinlich sowas wie Puppet trotzdem benutzen und dieses verwenden, um entweder das Passwort als solches zu verwalten oder sudoers Regeln (oder beides). - Sven♦


Sie können mit Marionette versuchen, den Benutzer zu verwalten:

Warum Puppet zum Verwalten von Benutzerkonten verwenden? (und nicht NIS, LDAP usw.)

Einer der Vorteile beim Verwalten von Benutzerkonten in Marionetten ist die Tatsache, dass   Es ist dezentral. Jedes Benutzerkonto ist nur ein normales Benutzerkonto   auf dem verwalteten Server. Es gibt nichts besonderes an dem Benutzer   Konten Marionette erstellt andere als die Tatsache, dass sie erstellt wurden   Marionette und nicht von einem menschlichen Administrator. Das Schöne daran ist   Wenn der Haupt-Host stirbt, verlieren wir die Authentifizierung nicht. Was bedeutet   dass unser Puppetmaster-Server (oder NIS / LDAP-Server) keine haben muss   spezielle Verfügbarkeitsanforderungen Wenn ein Notfall eintritt, können wir uns darauf konzentrieren   unsere Produktionsserver hochfahren und sich darauf konzentrieren, die   Puppetmaster auf "wie benötigt" Basis. Der Nachteil ist, dass   Puppet ist nicht unbedingt wirklich darauf ausgelegt, "normales" Login zu verwalten   Benutzerkonten (im Gegensatz zu Systemkonten). Der größte Weg dies   kommt, dass, obwohl Sie das Passwort in Marionette, Marionette setzen können   kontinuierlich überwacht Systemeinstellungen (gut) und wenn es bemerkt, dass die   Passwort hat sich geändert, wird zurückgesetzt. (schlecht) Ich möchte nicht überwachen   Benutzer Passwörter in unserem Netzwerk, so muss es eine Möglichkeit geben, ein   Passwort und lassen Sie Puppet aufhören, dieses Passwort zu überwachen. Glücklicherweise,   Sobald Sie den Trick herausfinden, ist das eigentlich wirklich ganz einfach. Aber   Lassen Sie uns zuerst einige Definitionen aus dem Weg räumen.

http://docs.puppetlabs.com/pe/2.5/console_auth.html


24
2018-01-30 10:14



Dies ist eine gültige Lösung in Kombination mit LDAP, IME. - Tom O'Connor
@ TomO'Connor Es ist meiner Meinung nach perfekt für die Verwaltung von lokalen Konten. - gertvdijk
Dies ist eine sehr schlechte Idee ..., die keine ernsthafte Benutzerverwaltung ermöglicht, mit schneller Fähigkeit, den gewährten Zugriff zu ändern, und auch keine zeitlich begrenzte Zugriffsverwaltung. Definitiv nicht geeignet, Tausende von Accounts zu verwalten, wie zum Beispiel an einer Universität. - jmary


Wie SvenW erwähnt, gibt es 389DS und Kerberos. Seit RHEL 6.2 hat Red Hat das Angebot übernommen IPA in der Verteilung (und damit auch in CentOS). Dies ist eine vollständige Identitätsmanagement-Suite, die 389DS und Kerberos mit richtlinienbasierter Kontrolle über Authentifizierung und Autorisierung und optional DNS enthält. Es kann sogar für die unidirektionale oder wechselseitige Synchronisierung mit Active Directory konfiguriert werden.

IPA erfordert ziemlich viel SSSD auf RHEL-Hosts, aber es funktioniert ohne es. Ich habe sogar getestet, Solaris 10 mit IPA zu verbinden (funktioniert, aber ein bisschen fummelig). IPA lässt sich ziemlich einfach für RHEL-Hosts einrichten.

Dies basiert auf der KostenlosIPA Projekt.


4
2018-01-30 17:18



Für RHEL und andere Linux-Server in einer Linux-Umgebung ist dies die beste Wahl. - Michael Hampton♦


Für Ihre Netzwerkbenutzerkonten wird OpenLDAP wie SvW erwähnt.

Sie sollten sich auch "Configuration Management Systems" ansehen, um Ihre lokalen Konten und alles andere auf Ihren Servern zu verwalten. Werfen Sie einen Blick auf CFEngine, Bcfg2, Puppet und Chef. Wenn Sie AWS verwenden, haben sie eine Chefy-Sache mit OpsWorks.

Wenn Sie wirklich mehr als 100 Server verwalten müssen, haben Sie entweder 10 Sysadmins oder Sie verwenden die Configuration Management-Software.


1
2018-06-19 08:19





Dies kann eine offensichtliche Antwort sein, aber "Active Directory" verwenden. Sie müssen unser AD-Schema ein wenig modifizieren, um unixspezifische Felder einzubeziehen, aber wenn Sie dies getan haben, haben Sie ein einziges Verzeichnis aller Benutzerkonten, das plattformübergreifend funktioniert.

Vielleicht weniger nützlich, wenn Sie ein Unix-Shop sind - aber ich habe nicht viele davon gesehen. Aber AD ist eigentlich eine ziemlich gute Vermaschung der Schlüsselelemente von LDAP und Kerberos. Ich finde das ein bisschen ironisch.

Was Sie jedoch "kostenlos" erhalten, sind plattformübergreifende Konten und die Kerberos-Integration, so dass Sie NFSv4-Exporte mit CIFS-anerkannten ACLs und krb5i / p-NFS-Mounts mit starker Benutzerauthentifizierung durchführen können.


0
2018-06-19 09:31