सैकड़ों लिनक्स सर्वरों में उपयोगकर्ता खाते कैसे बनाए रख सकते हैं?


37

सैकड़ों आरएचईएल सर्वरों से निपटना, हम स्थानीय रूट खातों और नेटवर्क उपयोगकर्ता खातों को कैसे बनाए रख सकते हैं? क्या कोई सक्रिय निर्देशिका प्रकार समाधान है जो एक केंद्रीय स्थान से इनका प्रबंधन करता है?

जवाबों:


36

सक्रिय निर्देशिका का एक केंद्रीय घटक LDAP है, जो कि OpenLDAP और 389DS (और कुछ अन्य) के रूप में लिनक्स पर उपलब्ध है । इसके अलावा, अन्य प्रमुख घटक Kerberos MIT Kerberos और Heimdal के रूप में उपलब्ध है । अंत में, आप अपनी मशीनों को AD से भी जोड़ सकते हैं।


2
Comlpeteness के लिए, क्लाइंट पक्ष, SSSD पर एजेंट का भी उल्लेख किया जाना चाहिए।
फुयेरो

रूट खाते के बारे में क्या?
डैनियल सेरोडियो

1
@DanielSerodio: यह संगठन पर निर्भर है और वे पहली जगह में रूट एक्सेस कैसे संभालते हैं। सैकड़ों सर्वरों के लिए, मैं संभवतः कठपुतली की तरह कुछ का उपयोग करने और इस का उपयोग करने की अनुमति दूंगा, या तो पासवर्ड को ऐसे या sudoersनियमों (या दोनों) के रूप में प्रबंधित करने के लिए ।
स्वेन

26

आप उपयोगकर्ता को प्रबंधित करने के लिए कठपुतली के साथ कोशिश कर सकते हैं:

उपयोगकर्ता खातों को प्रबंधित करने के लिए कठपुतली का उपयोग क्यों करें? (और एनआईएस, एलडीएपी आदि नहीं)

कठपुतली में उपयोगकर्ता खातों के प्रबंधन के लाभों में से एक यह तथ्य है कि यह विकेंद्रीकृत है। प्रत्येक उपयोगकर्ता खाता प्रबंधित सर्वर पर केवल एक सामान्य उपयोगकर्ता खाता है। उपयोगकर्ता खातों की कठपुतली इस तथ्य से इतर कुछ खास नहीं है कि वे कठपुतली द्वारा बनाए गए थे और मानव प्रशासक द्वारा नहीं। इसके बारे में अच्छी बात यह है कि यदि मुख्य मेजबान मर जाता है, तो हम प्रमाणीकरण नहीं खोते हैं। जिसका अर्थ है कि हमारे कठपुतली सर्वर (या एनआईएस / एलडीएपी सर्वर) को किसी विशेष अपटाइम आवश्यकताओं की आवश्यकता नहीं है। यदि कोई आपात स्थिति होती है, तो हम अपने उत्पादन सर्वर को प्राप्त करने पर ध्यान केंद्रित कर सकते हैं, और कठपुतली को "आवश्यकतानुसार" आधार पर प्राप्त करने पर ध्यान केंद्रित कर सकते हैं। इसका नकारात्मक पक्ष यह है कि कठपुतली को वास्तव में "सामान्य" लॉगिन उपयोगकर्ता खातों (सिस्टम खातों के विपरीत) के प्रबंधन के लिए डिज़ाइन नहीं किया गया है। इसका सबसे बड़ा तरीका यह है कि, यद्यपि आप कठपुतली में पासवर्ड सेट कर सकते हैं, कठपुतली लगातार सिस्टम सेटिंग्स (अच्छा) पर नज़र रखता है और यदि यह नोटिस करता है कि पासवर्ड बदल गया है, तो इसे रीसेट कर देगा। (खराब) मैं अपने नेटवर्क पर उपयोगकर्ता पासवर्ड की निगरानी नहीं करना चाहता, इसलिए पासवर्ड सेट करने का एक तरीका होना चाहिए और कठपुतली को इस पासवर्ड की निगरानी करना बंद करना चाहिए। सौभाग्य से, एक बार जब आप चाल का पता लगा लेते हैं, तो यह वास्तव में वास्तव में काफी आसान है। लेकिन पहले, चलिए कुछ परिभाषाएँ निकालते हैं।

http://docs.puppetlabs.com/pe/2.5/console_auth.html


एलडीएपी, आईएमई के साथ संयुक्त होने पर यह एक वैध समाधान है।
टॉम ओ'कॉनर

@ TomO'Connor यह मेरी राय में स्थानीय-केवल खातों को बनाए रखने के लिए पूरी तरह से मान्य है।
gertvdijk

यह एक बहुत बुरा विचार है ... जो गंभीर उपयोगकर्ता प्रबंधन को सक्षम नहीं करता है, न तो पहुंच की अनुमति देने की त्वरित क्षमता के साथ, न ही समय पर पहुंच प्रबंधन को। निश्चित रूप से उदाहरण के लिए एक विश्वविद्यालय की तरह हजारों खाते का प्रबंधन करने के लिए उपयुक्त नहीं है।
jmary

4

जैसा कि स्वेनव का उल्लेख है, 389DS और केर्बरोस है। आरएचईएल 6.2 के बाद से, Red Hat ने वितरण में IPA को शामिल किया है (और इस प्रकार CentOS में भी है)। यह एक पूर्ण पहचान प्रबंधन सूट है जिसमें 389DS और केर्बरोस शामिल हैं, जिसमें प्रमाणीकरण और प्राधिकरण पर नीति आधारित नियंत्रण और वैकल्पिक रूप से DNS शामिल हैं। यह भी सक्रिय निर्देशिका के साथ एक तरफा या दो तरफा सिंक के लिए कॉन्फ़िगर किया जा सकता है।

IPA को RHEL होस्ट पर SSSD की बहुत आवश्यकता है लेकिन यह इसके बिना काम करता है। मैंने सोलारिस 10 को आईपीए से जोड़ने का भी परीक्षण किया है (काम करता है, लेकिन थोड़ा सा)। आरएचईएल होस्ट के लिए सेटअप करने के लिए आईपीए बहुत सीधा है।

यह FreeIPA प्रोजेक्ट पर आधारित है ।


ज्यादातर लिनक्स वातावरण में आरएचईएल और अन्य लिनक्स सर्वरों के लिए, यह आसानी से सबसे अच्छा विकल्प है।
माइकल हैम्पटन

1

आपके नेटवर्क उपयोगकर्ता खातों के लिए OpenLDAP जैसे SvW का उल्लेख किया गया है।

आपको अपने सर्वरों पर अपने स्थानीय खातों और अन्य सभी चीज़ों के प्रबंधन के लिए "कॉन्फ़िगरेशन मैनेजमेंट सिस्टम" को भी देखना चाहिए। CFEngine, Bcfg2, कठपुतली, और बावर्ची पर एक नज़र डालें। यदि आप AWS का उपयोग कर रहे हैं, तो उनके पास OpsWorks के साथ एक बावर्ची चीज़ है।

यदि आपको वास्तव में 100+ सर्वर का प्रबंधन करने की आवश्यकता है, तो आपके पास 10 Sysadmins हैं या आप कॉन्फ़िगरेशन प्रबंधन सॉफ़्टवेयर का उपयोग करते हैं।


1

यह एक स्पष्ट उत्तर हो सकता है, लेकिन 'सक्रिय निर्देशिका का उपयोग करें'। यूनिक्स विशिष्ट क्षेत्रों को शामिल करने के लिए आपको हमारे AD स्कीमा को थोड़ा संशोधित करने की आवश्यकता है, लेकिन एक बार जब आप ऐसा कर लेते हैं, तो आपके पास क्रॉस प्लेटफॉर्म पर काम करने वाले आपके सभी उपयोगकर्ता खातों की एक ही निर्देशिका होती है।

शायद कम उपयोगी है यदि आप यूनिक्स केवल दुकान हैं - लेकिन मैंने वास्तव में उनमें से कई को नहीं देखा है। लेकिन AD वास्तव में LDAP और कर्बरोस के प्रमुख तत्वों का एक अच्छा जाल है। मुझे लगता है कि वास्तव में थोड़ा विडंबना है।

लेकिन जो आपको 'मुफ्त में' मिलेगा, वह है प्लेटफ़ॉर्म अकाउंट्स, और केर्बरोस इंटीग्रेशन ताकि आप NFSv4 एक्सपोर्ट कर सकें, 'CIFS मान्यता प्राप्त' ACLs, और krb5i / p NFS माउंट्स, जो मजबूत (एर) यूज़र ऑथेंटिकेशन के साथ हैं।

हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.