Kontrolowanie dostępu do wielu systemów Linux
Szukałem odpowiedzi, ale nie mogłem tu niczego znaleźć ...
Krótko mówiąc: organizacja non-profit pilnie potrzebuje unowocześnienia swojej infrastruktury. Przede wszystkim musisz znaleźć alternatywę dla zarządzania kontami użytkowników na wielu hostach Linux.
Mamy 12 serwerów (zarówno fizycznych, jak i wirtualnych) i około 50 stacji roboczych. Mamy 500 potencjalnych użytkowników tych systemów. Człowiek, który przez lata budował i konserwował systemy, jest na emeryturze. Napisał własne scenariusze, aby to wszystko zarządzać. Wciąż działa. Nie ma żadnych skarg. Jednak wiele z tego jest wykonywanych ręcznie i jest podatne na błędy. Kod jest zagmatwany i po aktualizacji często wymaga poprawy. Co najgorsze, dokumenty są prawie napisane. Jest tylko kilka plików ReadMe i przypadkowych notatek, które mogą mieć znaczenie lub nie. Konserwacja stała się więc wyzwaniem.
Obecnie konta są zarządzane przez/etc/passwd w każdym systemie. Aktualizacje są dystrybuowane za pośrednictwem skryptów cron, aby naprawić system w miarę dodawania kont do „głównego” serwera. Niektórzy użytkownicy potrzebują dostępu do wszystkich systemów (na przykład konta administratora systemu), inni potrzebują dostępu do współdzielonych serwerów, a inni mogą potrzebować dostępu do stacji roboczych lub tylko do ich części.
Czy istnieje narzędzie, które pomoże nam zarządzać kontami, które spełniają poniższe wymagania?
- Najlepiej open source (tj. Za darmo, ponieważ budżet jest BARDZO ograniczony)
- main (czyli obsługiwane)
- najlepiej integruje się z LDAP lub może być skonfigurowany do interakcji z usługą LDAP lub AD w celu uwierzytelnienia użytkownika (w niedalekiej przyszłości będzie wymagana integracja kont z innymi biurami)
- zarządzanie użytkownikami (dodawanie, wygaśnięcie, usuwanie, blokowanie itp.)
- pozwala kontrolować, do których systemów (lub grup systemów) każdy użytkownik ma dostęp - nie wszyscy użytkownicy mają dostęp do wszystkich systemów
- obsługa kont użytkowników, dla których mogą być dostępne różne nazwy domowe i montowania w zależności od systemu, do którego są zalogowani ... na przykład [list][*]administrator systemu jest zalogowany na serwerze „głównym” main:// strona główna/administrator systemu/ jako homedir i ma wszystkie typowe pojazdy
- zrobiłby to administrator systemu zarejestrowany na stacjach roboczych personelu nas:// użytkownik/s/sysadmin jako homedir (inny niż powyższy) i potencjalnie ograniczony zestaw wierzchowców,
- zalogowany klient będzie miał swoje miejsce docelowe w innej lokalizacji i nie będzie współużytkowanych montowań.
[/*]
[*]
Byłoby wspaniale, gdyby istniał prosty interfejs sterowania.
[/*]
[*]
A jeśli to narzędzie jest wieloplatformowe (Linux/MacOS/* nix), będzie to cud!
[/*]
[/list]
Przeszukałem Internet i nie znalazłem nic odpowiedniego. Jesteśmy otwarci na wszelkie sugestie. Dzięki.
EDYCJA: To pytanie zostało nieprawidłowo oznaczone jako duplikat. Powiązana odpowiedź mówi tylko, że wszystkie systemy mają takie same nazwy domowe, podczas gdy potrzebujemy różnych nazw domowych w zależności od tego, do którego użytkownika systemu jest aktualnie zalogowany (MULTIPLE użytkownicy domowi). Ponadto dostęp powinien być przyznawany tylko niektórym komputerom, a nie całej grupie. Mody, proszę zrozumieć cały problem, a nie tylko oznaczać go jako duplikat dla punktów ...
Nie znaleziono powiązanych wyników
Zaproszony:
Aby odpowiedzieć na pytania, Zaloguj się lub Zarejestruj się
4 odpowiedzi
Anonimowy użytkownik
Potwierdzenie od:
http://www.freeipa.org/
prawdopodobnie to, czego szukasz. W przypadku systemu Linux jest to to samo, co w przypadku usługi Active Directory dla systemu Windows. (Może również współpracować z AD, jeśli masz heterogeniczne środowisko, ale nie powinieneś go używać do bezpośredniego zarządzania komputerami z systemem Windows. Użyj do tego AD).
Dokumentacja firmy Red Hat
https://access.redhat.com/site ... .html
(nazywają to zarządzaniem tożsamością) jest bardzo dokładna i łatwa w użyciu i powinna być stosowana głównie, nawet jeśli nie używasz systemów pochodnych Red Hat.
Anonimowy użytkownik
Potwierdzenie od:
sugerowałbym
dobrze
lokalny konsultant, który oceni specyfikę Twojej sytuacji ...
W rzeczy samej.
Mogą istnieć inne wymagania biznesowe lub niuanse, o których ludzie na tym forum mogą nie wiedzieć lub w które nie zainwestować, aby się nimi zająć. Najlepszym rozwiązaniem jest dedykowane źródło informacji ... W przeciwnym razie po prostu przekazujemy Ci rekomendacje produktów, które z łatwością wykraczają poza proste pytania i odpowiedzi.
Pomimo tego,
mój
podejście polegałoby na wykorzystaniu Microsoft Active Directory i połączeniu systemów Linux
SSSD
https://fedorahosted.org/sssd/
lub LDAP.
FreeIPA
http://www.freeipa.org/page/Main_Page
ok w domu zbudowanym całkowicie na Linuksie, ale nawet jeśli powiesz „niekomercyjny”, to niekoniecznie wyklucza Windows. Znajdziesz Active Directory
gdzieś
po drodze. Możesz uzupełnić to o automatycznie montowane katalogi domowe, ale szczegóły tego, kto montuje, kiedy i gdzie, nie są jasne.
Nawet w 99% tworzonych przeze mnie prywatnych środowisk chmurowych Linuksa nadal polegam na usłudze Active Directory w celu ułatwienia zarządzania i scentralizowanego uwierzytelniania. Grupy i uprawnienia dostępu są proste, polityka haseł i wygaśnięcie konta są proste. Rozwiązanie firmy Microsoft obejmie wszelkie problemy związane z konserwacją, uwagą i zgodnością. Replikacja jest wbudowana, dobrze udokumentowana, a technologia ma pewne zorientowanie na przyszłość.
Jednak w pierwotnym pytaniu brakuje niektórych szczegółów ...
Anonimowy użytkownik
Potwierdzenie od:
Polecam użycie czegoś takiego jak cfengine
http://cfengine.com/community
http://cfengine.com/community
(wersja bezpłatna) w celu „unowocześnienia” administracji systemem, a nie tylko zarządzania użytkownikami. Jest to dobra okazja, aby to wypróbować, ponieważ twój obecny system działa bardzo podobnie do używania cfengine do propagowania konfiguracji na serwery, w twoim przypadku/etc/passwd. Dlatego zamiast zastępować, przenieś te skrypty do cfengine. Miejmy nadzieję, że ten wpływ będzie minimalny, ponieważ nadal używasz tego samego pliku/etc/passwd.
Gdy już zaznajomisz się z cfengine, możesz utworzyć więcej przepisów, aby rozwiązać więcej problemów, takich jak posiadanie zupełnie nowego systemu zarządzania użytkownikami i narzędzia do zarządzania konfiguracją na serwerach.
Aby pomóc Ci zacząć, znalazłem ten link
http://explosive.net/opensourc ... .html
http://explosive.net/opensourc ... .html
które pokazują, jak dystrybuować/etc/passwd i powiązane pliki.
Nawet jeśli chcesz teraz wymienić system zarządzania użytkownikami, nadal potrzebujesz narzędzia administracyjnego do zarządzania tym serwerem. Lepiej jest mieć narzędzie administracyjne wcześniej niż później i ponownie skonfigurować zarządzanie użytkownikami za pomocą narzędzia administracyjnego.
Anonimowy użytkownik
Potwierdzenie od:
Użyłem Puppet w moim wdrożeniu - pomysł jest podobny do cfengine -
http://puppetlabs.com
http://puppetlabs.com
Twoje zarządzanie użytkownikami i ogólna konfiguracja/zarządzanie serwerem również mogą to zrobić.
Jeśli chcesz wypróbować coś tak wszechstronnego jak Samba, może ona mieć możliwość zarządzania katalogami z pewną konfiguracją, a także możliwość korzystania z zaplecza LDAP do dostosowywania. Samba 4 bardzo dojrzała i faktycznie może zapewnić zintegrowaną strukturę z systemami Windows i Linux do zarządzania/uwierzytelniania.
Samba działa z AD lub jako zamiennik AD.
Jest też produkt o nazwie Centrify, na który patrzyłem jakiś czas temu. Nigdy nie posunąłem się w tym za daleko, ale uważam, że mają też darmową wersję open source. Jeśli dobrze pamiętam, miał potencjał dla środowiska mieszanego zapewniającego zarządzanie Windows i Linux oraz prawdopodobnie Mac.
Poprę propozycję konsultanta. Te wdrożenia mogą być bardzo skomplikowane w instalacji i bardzo szybkie, ale są łatwe w utrzymaniu, jeśli zostaną udokumentowane i skonfigurowane.
Powodzenia