Birden fazla makinede kullanıcı hesaplarını nasıl tutarlı tutabilirim?

16

Şimdi Debian Wheezy'i çalıştıran bir Raspberry Pi'm var. Burada oturan birkaç makinem var (4 fiziksel, 2 sanal) ve bu makinelerdeki kullanıcı hesaplarını birleştirmek istiyorum.

Çalıştırdığım makineler üzerinde aşağıdaki Debian türevleri yüklü:

  • Debian Wheezy (armhf)
  • Debian Kararlı (amd64)
  • Debian Kararsız (amd64)
  • Ubuntu 14.04 (amd64)

Tüm makinelerde kullanıcı hesaplarını eşit şekilde nasıl kurabilirim? Adın, uzun adın, parolanın ve UID'nin tutarlı olmasını istiyorum.

Gelecekte, yapılandırmanın diğer bölümlerini birleştirmek istiyorum, belki

  • HTCondor
  • Mountpoints (Samba)
  • /etc/apt/sources.list
  • Katılımsız Güncellemeler

Farklı Ubuntu ve Debian varyantları kullandığım için, sources.listbiraz farklı olacak, ancak her dağıtımda aynı olacak.

Buna iyi bir yaklaşım ne olabilir?

users 
Martin Ueding
kaynak
1
Tüm kullanıcıları kullanıcı olarak ayarlamalısınız ldap.
Ramesh
1
@Ramesh Bu, kullanıcıların yalnızca bir ağ bağlantısı olduğunda giriş yapabileceği anlamına mı gelir?
Martin Ueding
Evet. ldapÇalışması için ağ bağlantısına ihtiyacınız olabilir . Ancak tüm makinelerde kullanıcı kurma ağrısını azaltır.
Ramesh
Her zaman açık ve ağ üzerinden erişilebilen bir makine var mı? Şifrenizi değiştirmek istediğinizde her zaman açık ve erişilebilir bir makine var mı?
Gilles 'SO- kötü olmayı bırak
1
@ramesh kullanarak çevrimdışı LDAP olabilir SSSD .
Patrick

Yanıtlar:

14

Temel olarak 2 seçeneğiniz var.

  1. Her makinenin yerel kimlik doğrulama sistemini kullanın ve hepsinde kimlik bilgileri değişikliklerini uygulayın.
  2. Merkezi bir kimlik doğrulama sunucusu kullanın.

1. Senkronize yerel kimlik doğrulama

Bunu kolayca gerçekleştiren birden fazla ürün var. Kukla , Şef , Ansible ve Tuz en yaygın olanlardan birkaçı. Tüm bu araçlar, " Yapılandırma Yönetimi " olarak bilinen şeyin altına girer .

Temel olarak, kimlik doğrulama bilgilerinizi kod olarak tanımladığınız bir havuzunuz olacaktır. "Kod", kullanıcı adını ve karma şifreyi belirten bir direktif kadar basit olacaktır. Daha sonra bu kodu tüm makinelerinizle senkronize edersiniz ve seçtiğiniz CM aracını çalıştırırsınız. CM aracı daha sonra her kullanıcının yerel kimlik doğrulama bilgilerini güncelleyecektir (gerekirse kullanıcıyı da oluşturacaktır).

Diğer yapılandırma türlerini de yapmak istediğinizi söylediğiniz için, bu daha uygun bir çözüm olabilir.

2. Merkezi kimlik doğrulama

Merkezi kimlik doğrulamanın en yaygın biçimi LDAP'dir. Bir LDAP sunucusu çalıştırmak göz korkutucu görünebilir, ancak FreeIPA gibi kolayca yönetilebilen bazı iyi paketlenmiş çözümler vardır .

Şimdi ilk düşüncelerinizden biri şu olabilir: "Merkezi sunucu kapalı olsa bile kimlik doğrulamasının çalışmasını istiyorum". Bu, SSSD kullanılarak kolayca yapılabilir . Bir kullanıcı bir sunucuda ilk kez oturum açtığında, SSSD LDAP'ye (veya kullanılıyorsa kerberos'a) başvurur ve kimlik bilgileri geçerliyse, bunları yerel makinede önbelleğe alır. LDAP sunucusu kullanılamıyorsa, önbelleğini kullanmaya geri döner. Bu nedenle, kullanıcı bir kez oturum açtığı sürece LDAP kullanılamıyorsa oturum açmaya devam edebilecektir.

3. İkisinin kombinasyonu

İki çözümün bir kombinasyonunu da kullanabilirsiniz. Bu, büyük ölçekli kurumsal ortamlarda çok yaygındır, ancak küçük ölçekli de kullanılabilir. Temel olarak merkezi bir kimlik doğrulama sunucunuz olur ve istemcileri kullanacak şekilde yapılandırmak için bir CM aracı kullanırsınız.

Patrick
kaynak
Çok teşekkür ederim, bu bana yeterince başlangıç ​​noktası vermeli! :-)
Martin Ueding
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.