सैकड़ों लिनक्स सर्वरों में उपयोगकर्ता खाते कैसे बनाए रख सकते हैं?

सैकड़ों आरएचईएल सर्वरों से निपटना, हम स्थानीय रूट खातों और नेटवर्क उपयोगकर्ता खातों को कैसे बनाए रख सकते हैं? क्या कोई सक्रिय निर्देशिका प्रकार समाधान है जो एक केंद्रीय स्थान से इनका प्रबंधन करता है?

सक्रिय निर्देशिका का एक केंद्रीय घटक LDAP है, जो कि OpenLDAP और 389DS (और कुछ अन्य) के रूप में लिनक्स पर उपलब्ध है । इसके अलावा, अन्य प्रमुख घटक Kerberos MIT Kerberos और Heimdal के रूप में उपलब्ध है । अंत में, आप अपनी मशीनों को AD से भी जोड़ सकते हैं।

आप उपयोगकर्ता को प्रबंधित करने के लिए कठपुतली के साथ कोशिश कर सकते हैं:

उपयोगकर्ता खातों को प्रबंधित करने के लिए कठपुतली का उपयोग क्यों करें? (और एनआईएस, एलडीएपी आदि नहीं)

कठपुतली में उपयोगकर्ता खातों के प्रबंधन के लाभों में से एक यह तथ्य है कि यह विकेंद्रीकृत है। प्रत्येक उपयोगकर्ता खाता प्रबंधित सर्वर पर केवल एक सामान्य उपयोगकर्ता खाता है। उपयोगकर्ता खातों की कठपुतली इस तथ्य से इतर कुछ खास नहीं है कि वे कठपुतली द्वारा बनाए गए थे और मानव प्रशासक द्वारा नहीं। इसके बारे में अच्छी बात यह है कि यदि मुख्य मेजबान मर जाता है, तो हम प्रमाणीकरण नहीं खोते हैं। जिसका अर्थ है कि हमारे कठपुतली सर्वर (या एनआईएस / एलडीएपी सर्वर) को किसी विशेष अपटाइम आवश्यकताओं की आवश्यकता नहीं है। यदि कोई आपात स्थिति होती है, तो हम अपने उत्पादन सर्वर को प्राप्त करने पर ध्यान केंद्रित कर सकते हैं, और कठपुतली को "आवश्यकतानुसार" आधार पर प्राप्त करने पर ध्यान केंद्रित कर सकते हैं। इसका नकारात्मक पक्ष यह है कि कठपुतली को वास्तव में "सामान्य" लॉगिन उपयोगकर्ता खातों (सिस्टम खातों के विपरीत) के प्रबंधन के लिए डिज़ाइन नहीं किया गया है। इसका सबसे बड़ा तरीका यह है कि, यद्यपि आप कठपुतली में पासवर्ड सेट कर सकते हैं, कठपुतली लगातार सिस्टम सेटिंग्स (अच्छा) पर नज़र रखता है और यदि यह नोटिस करता है कि पासवर्ड बदल गया है, तो इसे रीसेट कर देगा। (खराब) मैं अपने नेटवर्क पर उपयोगकर्ता पासवर्ड की निगरानी नहीं करना चाहता, इसलिए पासवर्ड सेट करने का एक तरीका होना चाहिए और कठपुतली को इस पासवर्ड की निगरानी करना बंद करना चाहिए। सौभाग्य से, एक बार जब आप चाल का पता लगा लेते हैं, तो यह वास्तव में वास्तव में काफी आसान है। लेकिन पहले, चलिए कुछ परिभाषाएँ निकालते हैं।

http://docs.puppetlabs.com/pe/2.5/console_auth.html

जैसा कि स्वेनव का उल्लेख है, 389DS और केर्बरोस है। आरएचईएल 6.2 के बाद से, Red Hat ने वितरण में IPA को शामिल किया है (और इस प्रकार CentOS में भी है)। यह एक पूर्ण पहचान प्रबंधन सूट है जिसमें 389DS और केर्बरोस शामिल हैं, जिसमें प्रमाणीकरण और प्राधिकरण पर नीति आधारित नियंत्रण और वैकल्पिक रूप से DNS शामिल हैं। यह भी सक्रिय निर्देशिका के साथ एक तरफा या दो तरफा सिंक के लिए कॉन्फ़िगर किया जा सकता है।

IPA को RHEL होस्ट पर SSSD की बहुत आवश्यकता है लेकिन यह इसके बिना काम करता है। मैंने सोलारिस 10 को आईपीए से जोड़ने का भी परीक्षण किया है (काम करता है, लेकिन थोड़ा सा)। आरएचईएल होस्ट के लिए सेटअप करने के लिए आईपीए बहुत सीधा है।

यह FreeIPA प्रोजेक्ट पर आधारित है ।

आपके नेटवर्क उपयोगकर्ता खातों के लिए OpenLDAP जैसे SvW का उल्लेख किया गया है।

आपको अपने सर्वरों पर अपने स्थानीय खातों और अन्य सभी चीज़ों के प्रबंधन के लिए "कॉन्फ़िगरेशन मैनेजमेंट सिस्टम" को भी देखना चाहिए। CFEngine, Bcfg2, कठपुतली, और बावर्ची पर एक नज़र डालें। यदि आप AWS का उपयोग कर रहे हैं, तो उनके पास OpsWorks के साथ एक बावर्ची चीज़ है।

यदि आपको वास्तव में 100+ सर्वर का प्रबंधन करने की आवश्यकता है, तो आपके पास 10 Sysadmins हैं या आप कॉन्फ़िगरेशन प्रबंधन सॉफ़्टवेयर का उपयोग करते हैं।

यह एक स्पष्ट उत्तर हो सकता है, लेकिन 'सक्रिय निर्देशिका का उपयोग करें'। यूनिक्स विशिष्ट क्षेत्रों को शामिल करने के लिए आपको हमारे AD स्कीमा को थोड़ा संशोधित करने की आवश्यकता है, लेकिन एक बार जब आप ऐसा कर लेते हैं, तो आपके पास क्रॉस प्लेटफॉर्म पर काम करने वाले आपके सभी उपयोगकर्ता खातों की एक ही निर्देशिका होती है।

शायद कम उपयोगी है यदि आप यूनिक्स केवल दुकान हैं - लेकिन मैंने वास्तव में उनमें से कई को नहीं देखा है। लेकिन AD वास्तव में LDAP और कर्बरोस के प्रमुख तत्वों का एक अच्छा जाल है। मुझे लगता है कि वास्तव में थोड़ा विडंबना है।

लेकिन जो आपको 'मुफ्त में' मिलेगा, वह है प्लेटफ़ॉर्म अकाउंट्स, और केर्बरोस इंटीग्रेशन ताकि आप NFSv4 एक्सपोर्ट कर सकें, 'CIFS मान्यता प्राप्त' ACLs, और krb5i / p NFS माउंट्स, जो मजबूत (एर) यूज़र ऑथेंटिकेशन के साथ हैं।