web-dev-qa-db-ja.com

複数のLinuxシステムへのアクセスの管理

回答を検索しましたが、ここには何も見つかりません...

要するに、非営利組織はインフラストラクチャの近代化を切実に必要としています。まず最初に、多くのLinuxホストでユーザーアカウントを管理する代替手段を見つける必要があります。

12台のサーバー(物理および仮想の両方)と約50台のワークステーションがあります。これらのシステムには、潜在的なユーザーが500人います。長年にわたってシステムを構築および保守してきた個人が退職しました。彼はすべてを管理するために独自のスクリプトを書きました。それはまだ機能します。そこに文句はありません。ただし、多くのものが非常に手動でエラーが発生しやすくなっています。コードは面倒で、更新後の調整が必要になることがよくあります。最悪なのは、ドキュメントがほとんどまたはまったく書かれていないことです。いくつかのReadMeとランダムなメモがあり、それらはもはや関連性があるかどうかはわかりません。したがって、メンテナンスは困難な作業になっています。

現在、アカウントは各システムの/ etc/passwdを介して管理されています。 「メイン」サーバーにアカウントが追加されると、更新はcronスクリプトを介してシステムを修正するために配布されます。すべてのシステム(sysadminアカウントなど)にアクセスする必要があるユーザーもいれば、共有サーバーにアクセスする必要があるユーザーもいれば、ワークステーションまたはそのサブセットのみにアクセスする必要があるユーザーもいます。

次の要件を満たすアカウントの管理に役立つツールはありますか?

  • できればオープンソース(予算が非常に限られているため無料)
  • 主流(つまり維持)
  • lDAP統合を備えているか、ユーザー認証のためにLDAPまたはADサービスとインターフェースすることができます(近い将来、アカウントを他のオフィスと統合するために必要になります)
  • ユーザー管理(追加、期限切れ、削除、ロックアウトなど)
  • 各ユーザーがアクセスできるシステム(またはシステムのグループ)を管理できます-すべてのユーザーがすべてのシステムで許可されているわけではありません
  • ログインしているシステムに応じて、異なるホームディレクトリとマウントを使用できるユーザーアカウントのサポート。例えば
    • 「メイン」サーバーにログインしたsysadminはmain:// home/sysadmin /をhomedirとして持ち、すべての共有マウントを持っています
    • スタッフのワークステーションにログインしたsysadminは、nas:// user/s/sysadminをhomedir(上記とは異なります)として持ち、マウントのセットが制限される可能性があります。
    • ログインしたクライアントのホームディレクトリは別の場所にあり、共有マウントはありません。
  • すごい簡単な管理インターフェースがあれば。
  • そして、このツールがクロスプラットフォーム(Linux/MacOS/* nix)であれば、それは奇跡です!

私はウェブを検索したので、適切なものは何も見つかりませんでした。私たちはどんな提案にもオープンです。ありがとうございました。

編集:この質問は誤って重複としてマークされています。回答へのリンクはすべてのシステムで同じホームディレクトリを持つことについてのみ話しますが、現在ログインしているシステムユーザーに基づいて異なるホームディレクトリが必要です(複数のホームディレクトリ) 。また、アクセスは全ロットではなく一部のマシンにのみ許可する必要があります。改造、ポイントの重複としてマークするのではなく、問題の全範囲を理解してください...

15
Swartz

FreeIPA はおそらくあなたが探しているものです。 LinuxがWindowsにとってActive Directoryとは何か。 (異種環境の場合、ADと通信することもできますが、Windowsマシンを直接管理するために使用しないでください。そのためにADを使用してください。)

Red Hatのドキュメント (これはIdentity Managementと呼ばれます)は非常に詳細でわかりやすく、Red Hatから派生したシステムを使用していない場合でもほとんどの場合に適用できます。

17
Michael Hampton

私はあなたの状況の詳細を評価するために良いローカルコンサルタントを提案します...

本当に。

このフォーラムの人々が認識できない、または検討するのに十分な投資ができない他のビジネス要件またはニュアンスがあるかもしれません。専用のリソースが最善の策です。それ以外の場合は、単純なQ&Aの範囲から簡単に外れるような製品の推奨事項を提示します。


それにもかかわらず、myアプローチは、Microsoft Active Directoryを活用し、Linuxシステムを [〜#〜] sssd [〜#〜] またはLDAP。 FreeIPA はすべてLinuxの家では問題ありませんが、「非営利」と言っても、必ずしもWindowsが除外されるわけではありません。パスの途中でActive Directoryのどこかに遭遇します。自動マウントされたホームディレクトリを使用してこれを強化することもできますが、マウントされるユーザーの詳細はいつ、どこで明確ではありません。

現在構築している99%のLinuxプライベートクラウド環境でも、管理を簡単にし、認証を一元化するために、Active Directoryに依存しています。グループとアクセス許可は簡単で、パスワードポリシーとアカウントのエージングは​​簡単です。保守性、マインドシェア、互換性に関する懸念はすべて、Microsoftのソリューションでカバーされます。レプリケーションは組み込みであり、十分に文書化されており、テクノロジーに固有の将来の保証が少しあります。

ただし、元の質問に欠けている詳細があります...

  • 環境にはどの特定のLinuxディストリビューションが存在しますか?バージョンは一貫していますか?
  • Macintoshシステムに同じレベルの管理の細分性が必要ですか(ほとんどの組織はAppleコンピューター)を完全に管理しようとしません)?
  • リモートユーザーはいますか?
  • 「* nix」について言及している-どのタイプの* nixが存在しますか?
6
ewwhite

現在のシステムは機能しますが、管理が困難です。すべてを手動で行った場合、これらのサーバーの管理には他にも問題があると思います。機能するもの(ユーザー管理)を置き換えないことで別のアプローチをとり、サーバーの管理問題を解決します。

Cfengine http://cfengine.com/community (無料版あり)のようなものを使用して、ユーザー管理だけでなく、システム管理を「近代化」することをお勧めします。現在のシステムはcfengineを使用してサーバーに構成を配布するのと同じように機能するため、これを試す良い機会です。この場合、/ etc/passwdです。したがって、置き換えるのではなく、それらのスクリプトをcfengineに移行します。うまくいけば、同じ/ etc/passwdをまだ使用しているため、影響はごくわずかです。

Cfengineに慣れると、完全に新しいユーザー管理システムのようなより多くの問題を解決するためのより多くのレシピを構築でき、サーバーの構成を管理するツールが手に入ります。

あなたが始めるのを助けるために、私はこのリンクを見つけました http://explosive.net/opensource/cfpasswd/doc/cfengine.html /etc/passwdおよび関連ファイルを配布する方法を示す。

ユーザー管理システムを今すぐ置き換えたい場合でも、それらのサーバーを管理するための管理ツールが必要です。管理ツールを早めに用意し、管理ツールでユーザー管理を再構成することをお勧めします。

3
imel96

追加するいくつかの簡単なこと-

私は展開でPuppetを使用しています-cfengineと同様のアイデア- http://puppetlabs.com

これは、ユーザー管理と一般的な構成/サーバー管理も行うことができます。

Sambaのように多用途なものを試したい場合は、いくつかの構成でディレクトリの管理を行う可能性と、構成にLDAPバックエンドを使用する可能性があります。 Samba 4はかなり成熟しており、実際には管理および認証用のWindowsおよびLinuxとの統合環境を提供できます。

SambaはADと連携して、またはADの代わりとしても機能します。

先ほど見たセントリファイという製品もあります。私はそれで行き過ぎたことはありませんが、彼らはそれのフリーウェア/オープンソース版も持っていると信じています。私が思い出すと、WindowsとLinuxの管理、そしておそらくMacを提供する混合環境の可能性がありました。

私はコンサルタントの提案を2番目にします。これらのデプロイメントは、セットアップが非常に複雑になり、セットアップが非常に速くなる場合がありますが、文書化および構成された後は保守が簡単です。

ベストオブラック

0
JTWOOD