数百のRHELサーバーを扱う場合、ローカルルートアカウントとネットワークユーザーアカウントをどのように維持できますか?これらを中央の場所から管理するActive Directoryタイプのソリューションはありますか?
数百のRHELサーバーを扱う場合、ローカルルートアカウントとネットワークユーザーアカウントをどのように維持できますか?これらを中央の場所から管理するActive Directoryタイプのソリューションはありますか?
回答:
Active Directoryの中心的なコンポーネントの1つにLDAPがあります。これは、LinuxでOpenLDAPおよび389DS(および他のいくつか)の形式で利用可能です。また、他の主要なコンポーネントKerberosは、MIT KerberosおよびHeimdalの形式で利用可能です。最後に、マシンをADに接続することもできます。
sudoersルール(またはその両方)を使用します。
ユーザーを管理するためにpuppetを試すことができます:
Puppetを使用してユーザーアカウントを管理する理由 (NIS、LDAPなどではありません)
puppetでユーザーアカウントを管理する利点の1つは、それが分散化されているという事実です。各ユーザーアカウントは、管理対象サーバー上の単なる通常のユーザーアカウントです。puppetが作成するユーザーアカウントに関して、人間の管理者ではなくpuppetによって作成されたという事実以外に特別なものはありません。これの良い点は、メインホストが死んだ場合でも認証が失われないことです。つまり、puppetmasterサーバー(またはNIS / LDAPサーバー)には、特別なアップタイム要件は必要ありません。緊急事態が発生した場合、実稼働サーバーを立ち上げることに集中し、「必要に応じて」操り人形マスターを立ち上げることに集中できます。これの欠点は、パペットが(システムアカウントではなく)「通常の」ログインユーザーアカウントを管理するように必ずしも設計されていないことです。これが起きる最大の方法は、puppetでパスワードを設定できますが、puppetはシステム設定を継続的に監視し(良好)、パスワードが変更されたことに気付いた場合はリセットします。(悪い)ネットワーク上のユーザーパスワードを監視したくないので、パスワードを設定し、puppetにこのパスワードの監視を停止させる方法が必要です。幸いなことに、トリックを理解すると、これは実際には非常に簡単です。しかし、最初に、いくつかの定義を邪魔にならないようにしましょう。
SvenWが言及しているように、389DSとKerberosがあります。RHEL 6.2以降、Red HatはディストリビューションにIPAを含めています(したがって、CentOSにも含まれています)。これは、389DSとKerberosが組み込まれた完全なID管理スイートであり、認証と承認、およびオプションでDNSをポリシーベースで制御します。Active Directoryとの一方向または双方向の同期用に構成することもできます。
IPAはRHELホストでSSSDを必要としますが、SSSDなしでも機能します。Solaris 10をIPAに接続することもテストしました(動作しますが、少し面倒です)。IPAは、RHELホストのセットアップは非常に簡単です。
これは、FreeIPAプロジェクトに基づいています。
これは明らかな答えかもしれませんが、「Active Directoryを使用」。UNIX固有のフィールドを含めるには、ADスキーマを少し変更する必要がありますが、一度変更すると、クロスプラットフォームで機能するすべてのユーザーアカウントの単一ディレクトリが作成されます。
もしあなたがUnixのみのショップなら、おそらくあまり役に立たないでしょう-しかし私は実際にそれらの多くを見ていません。しかし、ADは実際にはLDAPとKerberosの主要な要素のかなり良いメッシュです。私は実際にその少し皮肉を見つけます。
しかし、「無料」で入手できるのはクロスプラットフォームアカウントとKerberos統合であり、強力な(er)ユーザー認証で「CIFS認識」ACLとkrb5i / p NFSマウントを適用してNFSv4エクスポートを実行できます。