Birden çok linux sistemine erişimi yönetme

15

Cevap arandı ama burada hiçbir şey bulamadı ...

Uzun lafın kısası: kar amacı gütmeyen bir kuruluşun altyapısını modernize etme ihtiyacı var. İlk şey, bir dizi Linux ana bilgisayarında kullanıcı hesaplarını yönetmeye bir alternatif bulmaktır.

12 sunucumuz (hem fiziksel hem de sanal) ve yaklaşık 50 iş istasyonumuz var. Bu sistemler için 500 potansiyel kullanıcımız var. Yıllar boyunca sistemleri kuran ve bakımını yapan kişi emekli olmuştur. Her şeyi yönetmek için kendi senaryolarını yazdı. Hala çalışıyor. Orada şikayet yok. Ancak, bir çok şey çok manuel ve hata eğilimli. Kod dağınık ve güncellemelerin sık sık değiştirilmesi gerekiyor. En kötü yanı, hiçbir belge yazılı ya da çok az olmasıdır. Artık alakalı olabilecek veya olmayabilecek birkaç ReadMe ve rastgele not vardır. Böylece bakım zor bir iş haline geldi.

Şu anda hesaplar her sistemde / etc / passwd ile yönetilmektedir. "Ana" sunucuya hesaplar eklendikçe, güncelleştirmeler sistemleri düzeltmek için cron komut dosyaları aracılığıyla dağıtılır. Bazı kullanıcıların tüm sistemlere (sysadmin hesabı gibi) erişmesi gerekirken, diğerlerinin paylaşılan sunuculara erişmesi gerekirken, diğerlerinin iş istasyonlarına veya bunların yalnızca bir alt kümesine erişmesi gerekebilir.

Aşağıdaki gereksinimleri karşılayan hesapları yönetmemize yardımcı olabilecek bir araç var mı?

  • Tercihen açık kaynak (yani bütçe ÇOK sınırlı olduğu için ücretsiz)
  • ana akım (yani korunur)
  • tercihen LDAP entegrasyonuna sahiptir veya kullanıcı kimlik doğrulaması için LDAP veya AD hizmeti ile arayüz oluşturmak için yapılabilir (hesapları diğer ofislerle entegre etmek için yakın gelecekte ihtiyaç duyulacaktır)
  • kullanıcı yönetimi (ekleme, son kullanma tarihi, kaldırma, kilitleme vb.)
  • her kullanıcının hangi sistemlere (veya sistem grubuna) erişebileceğini yönetmenize olanak tanır - tüm sistemlerde tüm kullanıcıların kullanımına izin verilmez
  • giriş yaptıkları sisteme bağlı olarak farklı homedir ve mount'lara sahip olabilecek kullanıcı hesapları için destek . Örneğin
    • "main" sunucusunda oturum açan sysadmin main: // home / sysadmin / as homedir ve tüm paylaşılan bağlara sahiptir
    • Personel iş istasyonlarına giriş yapan sysadmin , homedir (yukarıdakinden farklı) olarak nas: // user / s / sysadmin ve potansiyel olarak sınırlı montaj setine sahip olacaktır,
    • oturum açmış bir müşteri kendi homedir'ini farklı bir konumda bulunduracak ve paylaşımlı bağlara sahip olmayacaktır.
  • Harika bir kolay bir yönetim arayüzü varsa.
  • Ve eğer bu araç çapraz platform ise (Linux / MacOS / * nix), bu bir mucize olacaktır!

Web'de arama yaptım ve bu yüzden uygun bir şey bulamadım. Her türlü öneriye açığız. Teşekkür ederim.

EDIT: Bu soru yanlış kopya olarak işaretlendi. Yanıtla bağlantılı, tüm sistemlerde yalnızca aynı ana bilgisayarlara sahip olmaktan bahsederken, şu anda oturum açmış olan sistem kullanıcısının (MULTIPLE ana bilgisayarları) farklı homedirlere ihtiyacımız var. Ayrıca erişim, yalnızca tüm makinelere değil, bazı makinelere verilmelidir. Modlar, lütfen sorunu sadece puanlar için kopya olarak işaretlemek yerine tam kapsamını anlayın ...

ldap  user-management  user-accounts  groups  home-directory 
Swartz
kaynak
'Puanlar' kopyaları işaretlemek için verilmez. Sorunuz, 5 kişinin bunu yinelediğini düşünecek kadar açık değildi.
user9517
Bilmiyordum. Tamam teşekkürler. Ancak, aceleyle bir kopya olarak işaretlendi. Lütfen neyin gerekli olduğunu açıkça belirten nokta formu gereksinimlerini okuyun. Bu bir kopya değil. Sağlanan "çözüm" bağlantısı, tüm sistemlere ayrım gözetmeden erişime izin verir (kimin erişimi olduğunu ve hangi sistem veya sistem gruplarını sınırlamamız gerekir). Gerçek homedir konumu, hangi sisteme erişildiğine bağlıdır. Aynı kullanıcının oturum açtığı sisteme bağlı olarak farklı homedirs AND mount'ları olabilir.
Swartz
Sadece açıklığa kavuşturmak için: yukarıda belirtilen sysadmin örneğinde, ana ve nas farklı sunuculardır? Yani, aynı kullanıcı oturum açtığı homedir bağlı olarak farklı homedirs erişebilir?
Marco Bizzarri
@MarcoBizzarri: anladığımdan emin değilim. Kullanıcının oturum açtığı sistem, homedir'i belirler. SysA ve SysB'de / home / bob in / etc / passwd olabilirken, SysC'deki Bob için homdir / somewhere / else / bob olabilir. İki konum farklı veriler içerecektir. Oturum açmış olan sistem kullanıcısı, başka hangi bağların kullanılabileceğini belirler. Bu, yalnızca personel sistemlerinin paylaşılan personel gruplarına erişmesine izin verecektir. "Herkese açık" olarak kullanılabilen sistemler diğer bağlantılarla sınırlı olduğunda. Böylece bir personel personel mount erişmek için personel belirlenmiş pc üzerinde olması gerekir. Biraz bölümlendirme ...
Swartz
Tamam, burada iki farklı nokta var: homedir sabit ve bir yerde olabilir (aynı sunucuda veya başka bir sunucuda) ama her zaman böyle. Demek istediğim, SysA'nın ne olursa olsun her zaman serverX üzerinde homedir'i var. Bundan sonra, personel arasında paylaşılan bir dir vardır, buna personel_dirsürme diyelim, personel personel staff_workstation'da oturum açtığında mevcut olmalı, ancak normal_workstation'da oturum açtığınızda değil; bu doğru mu?
Marco Bizzarri

Yanıtlar:

17

FreeIPA muhtemelen aradığınız şeydir. Windows'a Active Directory'nin ne olduğu Linux'a aittir. (Ayrıca, heterojen bir ortamınız varsa AD ile konuşabilir, ancak Windows makinelerini doğrudan yönetmek için kullanılmamalıdır. Bunun için AD'yi kullanın.)

Red Hat'in belgelerini (Kimlik Yönetimi olarak adlandırırlar) takip etmek çok kapsamlı ve kolaydır ve Red Hat türevli sistemler kullanmasanız bile çoğunlukla uygulanabilir olmalıdır.

Michael Hampton
kaynak
+1 freeipa harika.
Sirex
FreeIPA'ya bakacağım. Bahşiş için teşekkürler. Soru: FreeIPA farklı sistemlerde farklı ev sahiplerinin kullanılmasını destekliyor mu? Örnek: Kullanıcı Bob, SystemA ve SystemB'de oturum açtığında / paylaşılan / home / xyz'de (NFS dışa aktarılmış) homedir'e sahiptir, ancak SystemC / System / herhangi bir / özel olduğunda Bob'un homedir'i vardır.
Swartz
Otomatik sayılara baktınız mı? Bu sizi o yolun yaklaşık% 90'ına götürecektir, kalan% 10'u mevcut ortamınızda küçük değişiklikler olacaktır.
Michael Hampton
Evet, mevcut sistemler otomatik saymayı kullanıyor. Bunlar her bir sistem türü için manuel olarak yapılandırılır. Ne yazık ki mevcut ortamımız sürdürülemeyecek kadar hantal. Özellikle güncellemelerden sonra veya yeni sistem görüntüleri oluştururken. Her ne kadar çekirdeği çalışıyor olsa da, çalışması için her zaman ince ayar yapılması gereken bir şey vardır.
Swartz
İyi o zaman. Şimdi temizlik yapmaya başlamak için iyi bir fırsatınız var.
Michael Hampton
6

Durumunuzun ayrıntılarını değerlendirmek için iyi bir yerel danışman öneririm ...

Gerçekten mi.

Bu forumdaki kişilerin dikkate almaya yetecek kadar yatırım yapamayacağı başka ticari gereksinimler veya nüanslar olabilir. Özel bir kaynak en iyi seçeneğinizdir ... Aksi takdirde, basit bir Soru-Cevap için kolayca kapsam dışı bir şey için size ürün önerileri gönderiyoruz.

Buna rağmen, benim yaklaşım Microsoft Active Directory kaldıraç kullanarak Linux sistemlerini bağlamak olacaktır SSSD veya LDAP. FreeIPA , tüm Linux evlerinde gayet iyi, ancak "kar amacı gütmeyen" demenize rağmen, bu mutlaka Windows'u dışlamaz. Active Directory ile yolun herhangi bir yerinde karşılaşacaksınız . Bunu otomatik girişli ev dizinleriyle zenginleştirmek isteyebilirsiniz, ancak kimin net olmadığı zaman veya nereye monte edildiğinin özellikleri.

Şu anda oluşturduğum% 99 Linux özel bulut ortamlarında bile, yönetim kolaylığı ve merkezi kimlik doğrulaması için hala Active Directory'ye güveniyorum. Gruplar ve erişim izinleri kolaydır, şifre politikası ve hesap yaşlandırması kolaydır. Sürdürülebilirlik, zihniyet paylaşımı ve uyumluluk hakkındaki tüm endişeler Microsoft çözümü tarafından kapsanmaktadır. Çoğaltma yerleşiktir, iyi belgelenmiştir ve teknolojinin doğasında var olan bir miktar prova vardır.

Yine de orijinal sorunuzda eksik olan bazı ayrıntılar var ...

  • Ortamda hangi belirli Linux dağıtımları var? Sürümler tutarlı mı?
  • Macintosh sistemleriniz için aynı düzeyde yönetim ayrıntısına ihtiyacınız mı var (çoğu kuruluş Apple bilgisayarları tam olarak yönetmeye çalışmaz)?
  • Uzak kullanıcılar var mı?
  • "* Nix" den bahsediyorsunuz - Ne tür * nix'ler var?
ewwhite
kaynak
2
freeipa'nın linux makineleri (çoğaltma, şifre politikası, gruplar vb.) için tüm bu şeyleri yapabileceği ve kurulumu çok kolay (gerçekten!) Ayrıca, aktif dizine karşı çift yönlü çoğaltma yapar (AD'nin fazladan alanlara sahip olması nedeniyle yeni kullanıcıların tek yönlü olduğundan emin olabilirsiniz), ancak Windows makineleriniz varsa, Windows yolunun merkezi olmasından bağımsız olarak prolly AD isteyeceksiniz. hayat. Ayrıca, freeipa'da dokümantasyon biraz eksiktir.
Sirex
Ne yazık ki bir danışman için bütçe yok. Windows makinesi yoktur (yalnızca personel kendi getirdiklerinde). Tüm sistemler CentOS'tur (bazıları 5.x diğerleri 6.x'dir). Kuruluş, bazı eski (2007-ish) iMac'leri alma sürecindedir, bu nedenle OSX ve Linux üzerinde çalışan bir araca sahip olmak güzel olurdu. Güzel bir şey: Windows için endişelenmenize gerek yok.
Swartz
Active Directory önerisini kabul edin - lisanslama maliyetleri bir sorunsa, Samba4 ücretsiz bir alternatiftir ve yerel bir Windows-hosetd AD ile aynı yönetim araçlarını / altyapısını kullanır. Neredeyse her şey AD'ye karşı PAM, winbind, LDAP vb. Aracılığıyla kimlik doğrulaması yapacak şekilde yapılandırılabilir. Tüm altyapının yapılandırma yönetimi için Tuz'a bakın ( saltstack.com/community.html blog.smartbear.com/devops/… )
nedm
3

Mevcut sistem çalışıyor ancak yönetilmesi zor. Ben de her şeyi elle yapıldı eğer bu sunucuları yönetmek için başka sorunlar var tahmin ediyorum. İşe yarayan bir şeyi değiştirmeden (kullanıcı yönetimi) ve sunucuların yönetim sorununu çözemediğimde farklı bir yaklaşım benimserdim.

Sadece kullanıcı yönetimini değil, sistem yönetiminizi "modernize" etmek için cfengine http://cfengine.com/community (ücretsiz sürüm) gibi bir şey kullanmanızı öneririm . Bunu denemek iyi bir fırsat çünkü mevcut sisteminiz yapılandırmayı sunuculara dağıtmak için cfengine kullanmak gibi, örneğin / etc / passwd. Bu yüzden değiştirmek yerine, bu komut dosyalarını cfengine taşıyın. Umarım etki çok az olur çünkü hala aynı / etc / passwd'yi kullanıyorsunuzdur.

Cfengine ile rahat olduğunuzda, tamamen yeni bir kullanıcı yönetim sistemine sahip olmak gibi daha fazla sorunu çözmek için daha fazla tarif oluşturabilir ve sunuculardaki yapılandırmayı yönetmek için araca sahip olabilirsiniz.

Başlamanıza yardımcı olmak için, / etc / passwd ve ilgili dosyaların nasıl dağıtılacağını gösteren http://explosive.net/opensource/cfpasswd/doc/cfengine.html bağlantısını buldum .

Kullanıcı yönetim sistemini şimdi değiştirmek isteseniz bile, bu sunucuyu yönetmek için yine de bir yönetim aracına ihtiyacınız vardır. Yönetim aracını er ya da geç kullanmanız ve kullanıcı yönetiminizi bir yönetim aracı altında yeniden yapılandırmanız daha iyi olur.

imel96
kaynak
0

Eklenecek birkaç kısa şey -

Konuşlandırmamda Kukla kullanıyorum - cfengine'e benzer bir fikir - http://puppetlabs.com

Bu, kullanıcı yönetiminizi ve genel yapılandırma / sunucu yönetiminizi de yapabilir.

Samba kadar çok yönlü bir şey denemek isterseniz, bazı yapılandırmalarla dizinlerin yönetimini yapma ve yapılandırma için bir LDAP arka ucu kullanma olasılığı olabilir. Samba 4 çok olgunlaştı ve aslında yönetim / kimlik doğrulama için Windows ve Linux ile entegre bir ortam sağlayabilir.

Samba, AD ile veya AD'nin yerine çalışır.

Bir süre önce baktığım Centrify adlı bir ürün de var. Ben asla onunla çok var, ama onlar da ücretsiz / açık kaynak sürümüne sahip inanıyorum. Hatırlıyorum, karışık bir ortam, Windows ve Linux yönetimi ve muhtemelen Mac sağladı.

Bir danışman tavsiyesinde ikinci olurdum. Bu dağıtımların kurulumu çok hızlı olabilir, ancak belgelendirilip yapılandırıldıktan sonra bakımı kolaydır.

İyi şanslar

JTWOOD
kaynak
1
Erken kukla ve şef yapılandırma yönetimi için baktım. Kukla 10 ücretsiz düğüm sağlar, Şef ile 5 ücretsiz olsun. Bu noktadan sonra Kukla Laboratuvarları yılda 99 ABD doları ücret alır. Bizim için birkaç bin olurdu. Oyunbozan. Chef'in fiyatını hatırlamama rağmen, aynı fikir. Bütçede değil. :(
Swartz
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.