एकाधिक लिनक्स सिस्टम तक पहुंच का प्रबंधन

15

जवाब के लिए खोज की, लेकिन यहाँ पर कुछ भी नहीं मिला ...

लंबी कहानी छोटी: एक गैर-लाभकारी संगठन को अपने बुनियादी ढांचे के आधुनिकीकरण की सख्त जरूरत है। पहली बात यह है कि कई लिनक्स होस्टों पर उपयोगकर्ता खातों के प्रबंधन के लिए एक विकल्प ढूंढना है।

हमारे पास 12 सर्वर (भौतिक और आभासी दोनों) और लगभग 50 वर्कस्टेशन हैं। हमारे पास इन प्रणालियों के लिए 500 संभावित उपयोगकर्ता हैं। पिछले वर्षों में सिस्टम को बनाने और बनाए रखने वाला व्यक्ति सेवानिवृत्त हो गया है। उन्होंने यह सब प्रबंधित करने के लिए अपनी स्क्रिप्ट लिखी। यह अभी भी काम करता है। वहां कोई शिकायत नहीं। हालांकि, बहुत सारा सामान बहुत मैनुअल और त्रुटि-प्रवण है। कोड गड़बड़ है और अपडेट के बाद अक्सर इसे ट्विक करने की आवश्यकता होती है। सबसे खराब हिस्सा यह है कि कोई डॉक्स नहीं लिखा है। अभी कुछ रीडमी के और रैंडम नोट्स हैं जो अब प्रासंगिक नहीं भी हो सकते हैं। इसलिए रखरखाव एक मुश्किल काम हो गया है।

वर्तमान में खातों को प्रत्येक सिस्टम पर / etc / passwd के माध्यम से प्रबंधित किया जाता है। अपडेट को क्रोन स्क्रिप्ट के माध्यम से सही सिस्टम में वितरित किया जाता है क्योंकि "मुख्य" सर्वर पर खाते जोड़े जाते हैं। कुछ उपयोगकर्ताओं को सभी प्रणालियों (जैसे कि एक sysadmin खाते) तक पहुंच प्राप्त करना पड़ता है, दूसरों को साझा सर्वर तक पहुंच की आवश्यकता होती है, जबकि अन्य को कार्यस्थानों या उन के केवल सबसेट तक पहुंच की आवश्यकता हो सकती है।

क्या कोई उपकरण है जो निम्नलिखित आवश्यकताओं को पूरा करने वाले खातों को प्रबंधित करने में हमारी मदद कर सकता है?

  • अधिमानतः खुला स्रोत (यानी बजट के रूप में मुफ्त बहुत सीमित है)
  • मुख्यधारा (यानी बनाए रखा)
  • अधिमानतः LDAP एकीकरण है या उपयोगकर्ता प्रमाणीकरण के लिए LDAP या AD सेवा के साथ इंटरफेस किया जा सकता है (निकट भविष्य में अन्य कार्यालयों के साथ खातों को एकीकृत करने के लिए इसकी आवश्यकता होगी)
  • उपयोगकर्ता प्रबंधन (जोड़ना, समाप्त करना, हटाना, तालाबंदी आदि)
  • प्रत्येक उपयोगकर्ता के पास क्या सिस्टम (या सिस्टम का समूह) प्रबंधित करने की अनुमति देता है - सभी उपयोगकर्ताओं को सभी प्रणालियों पर अनुमति नहीं है
  • उन उपयोगकर्ता खातों के लिए सहायता, जिनके पास लॉग इन करने के लिए अलग-अलग होमडायर और माउंट उपलब्ध हो सकते हैं । उदाहरण के लिए
    • sysadmin "मुख्य" सर्वर में लॉग इन किया गया है मुख्य: // घर / sysadmin / homedir के रूप में और सभी साझा mounts है
    • sysadmin ने स्टाफ वर्कस्टेशंस में लॉग इन nas किया होगा : // उपयोगकर्ता / s / sadadmin होमेडिर के रूप में (ऊपर से अलग) और संभावित सीमित सेट माउंट,
    • एक लॉग इन क्लाइंट के पास अलग-अलग स्थान पर उसका होमडायर होगा और कोई भी साझा नहीं होगा।
  • यदि एक आसान प्रबंधन इंटरफ़ेस है जो भयानक होगा।
  • और अगर यह टूल क्रॉस-प्लेटफ़ॉर्म (लिनक्स / मैकओएस / * निक्स) है, तो यह एक चमत्कार होगा!

मैंने वेब खोजा है और इसलिए कुछ भी उपयुक्त नहीं पाया है। हम किसी भी सुझाव के लिए खुले हैं। धन्यवाद।

EDIT: इस प्रश्न को डुप्लिकेट के रूप में गलत तरीके से चिह्नित किया गया है। उत्तर देने के लिए लिंक केवल सभी सिस्टम पर एक ही होमडायर होने के बारे में बात करता है, जबकि हमारे पास वर्तमान में लॉग इन किए गए सिस्टम उपयोगकर्ता के आधार पर अलग-अलग होमडायर होने की आवश्यकता है। इसके अलावा एक्सेस की आवश्यकता केवल कुछ मशीनों को ही दी जानी चाहिए। मॉड्स, कृपया अंक के लिए इसे केवल डुप्लिकेट के रूप में चिह्नित करने के बजाय समस्या की पूर्ण सीमा को समझें ...

ldap  user-management  user-accounts  groups  home-directory 
Swartz
स्रोत
'अंक' डुप्लिकेट अंकन के लिए सम्मानित नहीं किया गया है। आपका प्रश्न इतना स्पष्ट नहीं था कि 5 लोग इसे डुप्लिकेट मानते थे।
user9517
नहीं पता था। ठीक है धन्यवाद। हालाँकि, यह जल्दबाजी में एक डुप्लिकेट चिह्नित किया गया था। कृपया पॉइंट-फॉर्म आवश्यकताओं को पढ़ें जो स्पष्ट रूप से बताती है कि क्या आवश्यक है। यह कोई डुप्लिकेट नहीं है। "समाधान" के लिए प्रदान किया गया लिंक सभी प्रणालियों तक अंधाधुंध पहुंच की अनुमति देता है (हमें सीमित करने की आवश्यकता है कि किसके पास और किस प्रणाली या प्रणालियों के समूह हैं)। वास्तविक होमडेयर स्थान निर्भर है कि किस सिस्टम तक पहुँचा जा रहा है। एक ही उपयोगकर्ता के पास अलग-अलग गृहिणी और आरोह हो सकते हैं जो इस बात पर निर्भर करता है कि वह किस सिस्टम में लॉग इन है।
स्वार्टज
बस स्पष्ट करने के लिए: उपर्युक्त sysadmin उदाहरण में, मुख्य और nas अलग-अलग सर्वर हैं? तो, एक ही उपयोगकर्ता के पास अलग-अलग गृहिणियों तक पहुंच होगी जो वह गृहिणी के आधार पर लॉग इन करता है?
मार्को बिज़ारी
@MarcoBizzarri: मुझे यकीन नहीं है। उपयोगकर्ता द्वारा लॉग इन की गई प्रणाली होमेडिर को निर्धारित करती है। SysA और SysB दोनों में / home / bob in / etc / passwd हो सकता है, जबकि SysC पर बॉब के लिए homdir हो सकता है / कहीं / / bob। दोनों स्थानों में अलग-अलग डेटा होंगे। सिस्टम उपयोगकर्ता लॉग इन है यह निर्धारित करता है कि अन्य आरोह उपलब्ध हैं। यह केवल स्टाफ सिस्टम को साझा स्टाफ माउंट तक पहुंचने की अनुमति देगा। जहां "सार्वजनिक रूप से" उपलब्ध सिस्टम अन्य माउंट तक सीमित होगा। इस प्रकार एक स्टाफ को स्टाफ माउंट तक पहुंचने के लिए स्टाफ-निर्दिष्ट पीसी पर होना चाहिए। थोड़ा सा कम्पार्टमेंटलाइजेशन ...
स्वार्टज
ठीक है, इसलिए यहां दो अलग-अलग बिंदु हैं: होमडायर तय हो गया है, और कहीं भी हो सकता है (या तो एक ही सर्वर या किसी अन्य पर) लेकिन यह हमेशा होता है। मेरा मतलब है, SysA हमेशा सर्वर पर अपने homedir है, कोई बात नहीं क्या। उसके बाद, कर्मचारियों के बीच एक साझा dir है, चलो इसे staff_dir कहते हैं, जो तब उपलब्ध होना चाहिए जब कर्मचारी लोग Staff_workstation में लॉग इन करते हैं, लेकिन तब नहीं जब आप normal_workstation में लॉग इन करते हैं; क्या वो सही है?
मार्को बिज़ारी

जवाबों:

17

FreeIPA शायद वही है जो आप ढूंढ रहे हैं। यह लिनक्स क्या सक्रिय निर्देशिका विंडोज के लिए है। (यदि आपके पास विषम वातावरण है, तो यह AD से भी बात कर सकता है, लेकिन इसका उपयोग इसके लिए सीधे विंडोज़ मशीनों को प्रबंधित करने के लिए नहीं किया जाना चाहिए।)

Red Hat का दस्तावेज़ीकरण (वे इसे पहचान प्रबंधन कहते हैं) बहुत गहन और अनुसरण करने में आसान है, और यह तब भी लागू होना चाहिए जब आप Red Hat-व्युत्पन्न सिस्टम का उपयोग नहीं कर रहे हों।

माइकल हैम्पटन
स्रोत
+1 फ्रीपा भयानक है।
सेरेक्स
मैं FreeIPA को देखूंगा। पारितोषिक के लिए धन्यवाद। प्रश्न: क्या फ्रीपा अलग-अलग प्रणालियों पर अलग-अलग होमडायर का समर्थन करता है? उदाहरण: SystemA और SystemB में लॉग इन करने पर उपयोगकर्ता बॉब के पास (NFS- एक्सपोर्टेड) ​​होमेडिर / साझा / होम / xyz है, लेकिन जब SystemC / जो कुछ भी / विशेष बॉब के होमेडिर पर है।
स्वार्टज
क्या आपने ऑटोमेशन को देखा ? यह आपको लगभग 90% रास्ते में मिलना चाहिए, शेष 10% आपके मौजूदा वातावरण में मामूली बदलाव के साथ।
माइकल हैम्पटन
हां, मौजूदा सिस्टम ऑटोमाउंटिंग का उपयोग करते हैं। ये प्रत्येक प्रकार के सिस्टम के लिए मैन्युअल रूप से कॉन्फ़िगर किए गए हैं। अफसोस की बात है कि हमारा मौजूदा माहौल भी कायम है। विशेष रूप से अपडेट के बाद या नई सिस्टम इमेज बनाते समय। हालांकि इसका कोर काम करता है, लेकिन हमेशा ऐसा कुछ होता है जिसे इसे काम करने के लिए ट्विकिंग की आवश्यकता होती है।
स्वार्टज
ठीक है फिर। अब आपके पास सामान की सफाई शुरू करने का एक अच्छा अवसर है।
माइकल हैम्पटन
6

मैं आपकी स्थिति के विवरण का आकलन करने के लिए एक अच्छे स्थानीय सलाहकार का सुझाव दूंगा ...

वास्तव में।

अन्य व्यावसायिक आवश्यकताएं या बारीकियां हो सकती हैं जिन पर इस मंच के लोग विचार करने के लिए पहचान नहीं सकते हैं या निवेश के लिए पर्याप्त नहीं हैं। एक समर्पित संसाधन आपकी सबसे अच्छी शर्त है ... अन्यथा, हम केवल आपके लिए उत्पाद अनुशंसाएँ फेंक रहे हैं जो कि एक सरल प्रश्नोत्तर के लिए आसानी से दायरे से बाहर हैं।

इसके बावजूद, मेरा दृष्टिकोण Microsoft सक्रिय निर्देशिका का लाभ उठाने और SSSD या LDAP का उपयोग करने में लिनक्स सिस्टम को टाई करने के लिए होगा । FreeIPA ऑल-लिनक्स घर में ठीक है, लेकिन भले ही आप "गैर-लाभकारी" कहें, लेकिन यह जरूरी नहीं कि विंडोज को बाहर रखा जाए। आप पथ के साथ कहीं सक्रिय निर्देशिका का सामना करने जा रहे हैं । आप इसे स्वनिर्धारित होम निर्देशिकाओं के साथ बढ़ाना चाह सकते हैं, लेकिन जो स्पष्ट नहीं है या जहां स्पष्ट नहीं है, उनकी बारीकियों को बढ़ाना।

यहां तक ​​कि ९९% लिनक्स निजी-क्लाउड वातावरण में, जो मैं अभी बनाता हूं, मैं अभी भी प्रबंधन और केंद्रीकृत प्रमाणीकरण के लिए सक्रिय निर्देशिका पर भरोसा करता हूं। समूह और पहुंच की अनुमति आसान है, पासवर्ड नीति और खाता उम्र बढ़ने के लिए सीधा है। Microsoft समाधान द्वारा रखरखाव, माइंडशेयर और संगतता के बारे में कोई भी चिंताएं शामिल हैं। प्रतिकृति बिल्ट-इन है, यह अच्छी तरह से प्रलेखित है, और प्रौद्योगिकी के लिए भविष्य का एक सा है।

आपके मूल प्रश्न से कुछ विवरण गायब हैं, हालांकि ...

  • वातावरण में कौन से विशेष लिनक्स वितरण मौजूद हैं? क्या संस्करण सुसंगत हैं?
  • क्या आपको अपने Macintosh सिस्टम के लिए प्रबंधन की समान स्तर की आवश्यकता है (अधिकांश संगठन Apple कंप्यूटर को पूरी तरह से प्रबंधित करने का प्रयास नहीं करते हैं)?
  • क्या दूरस्थ उपयोगकर्ता हैं?
  • आप "* निक्स" का उल्लेख करते हैं - किस प्रकार के * निक्स मौजूद हैं?
ewwhite
स्रोत
2
यह निस्संदेह कुछ भी नहीं है कि फ्रीपा उन सभी चीजों को लिनक्स मशीनों (प्रतिकृति, पासवर्ड नीति, समूह आदि) के लिए कर सकता है और इसकी स्थापना के लिए बहुत आसान है (वास्तव में!)। यह सक्रिय निर्देशिका के खिलाफ द्वि-दिशात्मक प्रतिकृति भी करता है (बहुत यकीन है कि नए उपयोगकर्ता अतिरिक्त फ़ील्ड होने के कारण एडी-दिशात्मक हैं), लेकिन अगर आपके पास विंडोज़ मशीनें हैं, तो आप आसानी से विज्ञापन चाहते हैं, भले ही यह खिड़कियों के रास्ते के लिए केंद्रीय हो। जिंदगी। इसके अलावा, freeipa में प्रलेखन अभी भी imho की कमी है।
सेरेक्स
अफसोस की बात है कि एक सलाहकार के लिए कोई बजट नहीं है। कोई विंडोज मशीन नहीं हैं (केवल अगर कर्मचारी अपना खुद का लाते हैं)। सभी प्रणालियाँ CentOS हैं (कुछ 5.x अन्य 6.x हैं)। संगठन कुछ पुराने (2007-ish) iMacs प्राप्त करने की प्रक्रिया में है, इसलिए OSX और Linux पर काम करने वाले टूल का होना अच्छा होगा। एक अच्छी बात: विंडोज के बारे में चिंता करने की कोई जरूरत नहीं है।
स्वार्टज
सक्रिय निर्देशिका सुझाव से सहमत - यदि लाइसेंसिंग लागत एक मुद्दा है, तो Samba4 एक नि: शुल्क विकल्प है, और एक ही विंडोज-होसेट एडी के रूप में एक ही प्रबंधन उपकरण / बुनियादी ढांचे का उपयोग करता है। PAM, winbind, LDAP, आदि के माध्यम से AD के खिलाफ प्रमाणित करने के लिए लगभग कुछ और भी कॉन्फ़िगर किया जा सकता है। पूरे बुनियादी ढांचे के लिए कॉन्फ़िगरेशन प्रबंधन के लिए, Salt ( saltstack.com/community.html blog.smartbear.com/devops/… ) देखें
nedm
3

वर्तमान प्रणाली काम करती है लेकिन प्रबंधन करना मुश्किल है। मैं अनुमान लगा रहा हूं कि उन सर्वरों को प्रबंधित करने के लिए अन्य समस्याएं भी हैं अगर सब कुछ मैन्युअल रूप से किया गया था। मैं कुछ अलग से काम नहीं कर रहा है (उपयोगकर्ता प्रबंधन) और सर्वर की प्रशासन की समस्या को हल करके एक अलग दृष्टिकोण लेगा।

मैं आपके सिस्टम प्रशासन को "आधुनिकीकरण" करने के लिए केवल उपयोगकर्ता प्रबंधन ही नहीं, बल्कि cfengine http://cfengine.com/community (वहां मुफ्त संस्करण) का उपयोग करने की सलाह देता हूं । यह कोशिश करने का यह एक अच्छा अवसर है क्योंकि आपका वर्तमान सिस्टम सर्वरों को कॉन्फ़िगरेशन वितरित करने के लिए अपने मामले में / etc / passwd की तरह बहुत अधिक काम करता है। इसलिए प्रतिस्थापित करने के बजाय, आप उन स्क्रिप्ट्स को cengine में माइग्रेट करते हैं। उम्मीद है कि प्रभाव बहुत कम होगा क्योंकि आप अभी भी उसी / etc / passwd का उपयोग कर रहे हैं।

एक बार जब आप cigerine के साथ सहज हो जाते हैं, तो आप अधिक समस्याओं को हल करने के लिए अधिक व्यंजनों का निर्माण कर सकते हैं जैसे कि पूरी तरह से नया उपयोगकर्ता प्रबंधन सिस्टम और आपके पास सर्वर पर कॉन्फ़िगरेशन को प्रबंधित करने के लिए उपकरण है।

आपको आरंभ करने में सहायता के लिए, मुझे यह लिंक http://explosive.net/opensource/cfpasswd/doc/cfengine.html मिला, जो यह बताता है कि कैसे वितरित / etc / passwd और संबंधित फ़ाइलों को दिखाया जाए।

यहां तक ​​कि अगर आप अब उपयोगकर्ता प्रबंधन प्रणाली को बदलना चाहते थे, तो भी आपको उन सर्वर को प्रबंधित करने के लिए एक प्रशासन उपकरण की आवश्यकता होगी। बाद में प्रशासन टूल को जल्द से जल्द करना बेहतर है और प्रशासन टूल के तहत अपने उपयोगकर्ता प्रबंधन को फिर से कॉन्फ़िगर करें।

imel96
स्रोत
0

बस कुछ त्वरित चीजें जोड़ने के लिए -

मैं अपनी तैनाती में कठपुतली का उपयोग कर रहा हूँ - समान विचार के लिए cfengine - http://puppetlabs.com

यह आपके उपयोगकर्ता प्रबंधन और सामान्य कॉन्फ़िगरेशन / सर्वर प्रबंधन भी कर सकता है।

यदि आप सांबा के रूप में बहुमुखी के रूप में कुछ करने की कोशिश करना चाहते हैं, तो यह कुछ कॉन्फ़िगरेशन के साथ निर्देशिकाओं के प्रबंधन के साथ-साथ कॉन्फ़िगरेशन के लिए LDAP बैकएंड का उपयोग करने की संभावना भी हो सकती है। सांबा 4 काफी परिपक्व हो गया है और वास्तव में प्रबंधन / प्रमाणीकरण के लिए विंडोज और लिनक्स के साथ एक एकीकृत वातावरण प्रदान कर सकता है।

सांबा AD के साथ या AD के प्रतिस्थापन के रूप में भी काम करता है।

Centrify नामक एक उत्पाद भी है जिसे मैंने कुछ समय पहले देखा था। मैं इसके साथ कभी दूर नहीं हुआ, लेकिन मेरा मानना ​​है कि उनके पास इसके साथ ही एक फ्रीवेयर / ओपनसोर्स संस्करण भी है। अगर मुझे याद है कि यह एक मिश्रित वातावरण के लिए, विंडोज और लिनक्स प्रबंधन और संभवतः मैक प्रदान करने की क्षमता थी।

मैं एक सलाहकार का सुझाव दूंगा। ये तैनाती बहुत तेजी से स्थापित करने के लिए बहुत जटिल हो सकती हैं, लेकिन दस्तावेज और कॉन्फ़िगर किए जाने के बाद बनाए रखना आसान है।

शुभकामनाएँ

JTWOOD
स्रोत
1
मैंने जल्द से जल्द विन्यास प्रबंधन के लिए कठपुतली और बावर्ची को देखा है। कठपुतली 10 मुफ्त नोड्स के लिए अनुमति देता है, बावर्ची के साथ आपको 5 मुफ्त मिलते हैं। उस बिंदु के बाद कठपुतली लैब्स ने $ 99 / नोड / वर्ष का शुल्क लिया। यह हमारे लिए कुछ हजार होगा। सौदा तोड़ने वाला। हालांकि मुझे शेफ की कीमत याद नहीं है, लेकिन यह एक ही विचार है। बजट में नहीं। :(
स्वार्ट
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.