Yüzlerce RHEL sunucusuyla ilgilenerek, yerel kök hesaplarını ve ağ kullanıcı hesaplarını nasıl koruyabiliriz? Bunları merkezi bir konumdan yöneten aktif bir dizin tipi çözümü var mı?
Yüzlerce RHEL sunucusuyla ilgilenerek, yerel kök hesaplarını ve ağ kullanıcı hesaplarını nasıl koruyabiliriz? Bunları merkezi bir konumdan yöneten aktif bir dizin tipi çözümü var mı?
Yanıtlar:
Active Directory'nin merkezi bir bileşeni, Linux'ta OpenLDAP ve 389DS (ve diğerleri) şeklinde kullanılabilen LDAP'dir . Ayrıca, diğer ana bileşen Kerberos, MIT Kerberos ve Heimdal şeklinde mevcuttur . Son olarak, makinelerinizi AD'ye bile bağlayabilirsiniz.
sudoerskuralları (veya her ikisini de) yönetmek için kullanırdım .
Kullanıcıyı yönetmek için kukla ile deneyebilirsiniz:
Kullanıcı Hesaplarını Yönetmek İçin Neden Kukla Kullanmalı? (ve NIS, LDAP vb. değil)
Kukla içerisindeki kullanıcı hesaplarını yönetmenin faydalarından biri, merkezden uzaklaştırılmış olmasıdır. Her kullanıcı hesabı, yönetilen sunucudaki normal bir kullanıcı hesabıdır. Bir insan yöneticisi tarafından değil, kukla tarafından yaratılmış olduklarından başka, kuklaların yarattığı kullanıcı hesapları hakkında özel bir şey yoktur. Bununla ilgili güzel bir şey, eğer ana sunucu ölürse, kimlik doğrulamasını kaybetmememizdir. Bu, kuklacı sunucumuzun (veya NIS / LDAP sunucumuzun) herhangi bir özel çalışma süresi gereksinimine gerek duymadığı anlamına gelir. Acil bir durumda, üretim sunucularımızı kurmaya odaklanabilir ve kuklacıyı “gerektiği gibi” kurmaya odaklanabiliriz. Bunun dezavantajı, kuklanın “normal” giriş kullanıcı hesaplarını (sistem hesaplarının aksine) yönetmek için gerçekten de tasarlanması gerekmediği yönündedir. Bunun ortaya çıkmasının en büyük yolu, şifreyi kukla olarak ayarlayabilseniz de, kukla sürekli sistem ayarlarını izler (iyi) ve şifrenin değiştiğini fark ederse sıfırlar. (kötü) Ağımızdaki kullanıcı şifrelerini izlemek istemiyorum, bu yüzden bir şifre belirlemenin ve kuklaların bu şifreyi izlemekten vazgeçmesinin bir yolu olmalı. Neyse ki, numarayı bir kez çözdüğünüzde, bu aslında oldukça kolay. Ama önce, yoldan bazı tanımları alalım.
Sven'in belirttiği gibi, 389DS ve Kerberos var. RHEL 6.2'den bu yana Red Hat dağıtıma IPA'yı ekledi (ve böylece CentOS'ta da var). Bu, kimlik doğrulama ve yetkilendirme ve isteğe bağlı olarak DNS üzerinde politika kontrolü ile 389DS ve Kerberos'u içeren tam bir kimlik yönetimi paketidir. Active Directory ile tek yönlü veya iki yönlü senkronizasyon için bile yapılandırılabilir.
IPA hemen hemen RHEL ana bilgisayarlarında SSSD gerektirir, ancak onsuz çalışır. Solaris 10'u IPA'ya bağlamayı bile test ettim (çalışıyor, ancak biraz yanlış). IPA'nın RHEL ana bilgisayarları için kurulumu oldukça kolaydır.
Bu FreeIPA projesine dayanmaktadır .
Ağ kullanıcı hesaplarınız için OpenLDAP, SvW gibi.
Yerel hesaplarınızı ve sunucularınızdaki diğer her şeyi yönetmek için "Yapılandırma Yönetim Sistemleri" ne de bakmalısınız. CFEngine, Bcfg2, Puppet ve Chef'e göz atın. AWS kullanıyorsanız, OpsWorks ile Chefy bir şeye sahipler.
100+ sunucuyu gerçekten yönetmeniz gerekiyorsa, ya 10 Sysadmins'iniz var ya da Configuration Management yazılımını kullanıyorsunuz.
Bu açık bir cevap olabilir, ancak 'aktif dizini kullan'. Unix'e özel alanlar eklemek için AD şemamızı biraz değiştirmeniz gerekir, ancak bir kez yaptığınızda, platformlar arası çalışan tüm kullanıcı hesaplarınızın tek bir dizini vardır.
Sadece bir Unix dükkanıysanız, belki de daha az kullanışlı olsanız da, aslında pek çoğunu görmedim. Fakat AD aslında LDAP ve Kerberos'un ana unsurlarının oldukça iyi bir bölümüdür. Bu parçayı aslında ironik buluyorum.
Ancak 'ücretsiz' olarak elde edeceğiniz şey çapraz platform hesapları ve Kerberos entegrasyonu sayesinde, NFSv4 ihracatını 'CIFS tarafından tanınan' ACL'ler ve krb5i / p NFS mount'leri uygulayarak güçlü (kullanıcı) kimlik doğrulamasıyla yapabilirsiniz.