web-dev-qa-db-ja.com

管理者は、何百ものLinuxサーバーにわたってユーザーアカウントをどのように維持しますか?

何百ものRHELサーバーを扱っている場合、ローカルrootアカウントとネットワークユーザーアカウントをどのように維持できますか?これらを中央から管理するActive Directoryタイプのソリューションはありますか?

37

Active Directoryの中心的なコンポーネントの1つはLDAPです。LDAPは、Linuxでは OpenLDAP および 89DS (およびその他いくつか)の形式で使用できます。また、他の主要コンポーネントであるKerberosは MIT Kerberos および Heimdal の形式で利用できます。最後に、マシンをADに接続することもできます。

36
Sven

あなたはユーザーを管理するための人形で試すことができます:

Puppetを使用してユーザーアカウントを管理する理由(NIS、LDAPなどではありません)

Puppetでユーザーアカウントを管理する利点の1つは、分散化されていることです。各ユーザーアカウントは、管理対象サーバー上の通常のユーザーアカウントにすぎません。人形が作成したユーザーアカウントには、人間の管理者ではなく人形によって作成されたという事実以外に特別なものはありません。これの良い点は、メインホストが停止しても認証が失われないことです。つまり、puppetmasterサーバー(またはNIS/LDAPサーバー)に特別なアップタイム要件は必要ありません。緊急事態が発生した場合は、本番サーバーを稼働させることに集中でき、「必要に応じて」操り人形マスターを稼働させることに集中できます。これの欠点は、puppetが必ずしも(システムアカウントではなく)「通常の」ログインユーザーアカウントを管理するように設計されているとは限らないことです。これが発生する最大の方法は、puppetでパスワードを設定できますが、puppetは継続的にシステム設定を監視し(良好)、パスワードが変更されたことに気付いた場合はリセットします。 (悪い)ネットワーク上のユーザーパスワードを監視したくないので、パスワードを設定し、puppetにこのパスワードの監視を停止させる方法が必要です。幸いなことに、いったんトリックを理解すると、これは実際には非常に簡単です。しかし、最初に、いくつかの定義を邪魔にならないようにしましょう。

http://docs.puppetlabs.com/pe/2.5/console_auth.html

26
Suku

SvenWが言及するように、389DSとKerberosがあります。 RHEL 6.2以降、Red Hatは [〜#〜] ipa [〜#〜] をディストリビューションに含めました(したがって、CentOSにも含まれています)。これは、389DSとKerberosを組み込んだ完全なID管理スイートであり、認証と承認、およびオプションでDNSに対するポリシーベースの制御を備えています。 Active Directoryとの一方向または双方向の同期を構成することもできます。

IPAはRHELホストでSSSDをほとんど必要としますが、それがなくても機能します。 Solaris 10をIPAに接続することもテストしました(動作しますが、少し面倒です)。 IPAは、RHELホストのセットアップが非常に簡単です。

これは FreeIPA プロジェクトに基づいています。

4
James O'Gorman

ネットワークユーザーアカウントについては、SvWのようなOpenLDAPが言及されています。

サーバー上のローカルアカウントやその他すべてを管理するには、「構成管理システム」も参照してください。 CFEngine、Bcfg2、Puppet、Chefをご覧ください。 AWSを使用している場合、OpsWorksにはChefyの機能があります。

100台以上のサーバーを管理する必要がある場合は、10人のシステム管理者がいるか、構成管理ソフトウェアを使用します。

1
Matías

これは明白な答えかもしれませんが、「Active Directoryを使用」してください。 UNIX固有のフィールドを含めるには、ADスキーマを少し変更する必要がありますが、一度変更すると、クロスプラットフォームで機能するすべてのユーザーアカウントの単一のディレクトリができます。

もしあなたがUnixのみのショップなら、おそらくあまり役​​に立たないでしょう-しかし、私は実際にそれらの多くを見たことはありません。しかし、ADは実際にはLDAPとKerberosの主要な要素のかなり良いメッシュです。私は実際には少し皮肉なことに気づきます。

しかし、「無料」で得られるのはクロスプラットフォームアカウントとKerberos統合であり、強力な(er)ユーザー認証を使用して、「CIFS認識」ACLとkrb5i/p NFSマウントを適用するNFSv4エクスポートを実行できます。

1
Sobrique

@Svenで述べたように、LDAPは認証の主要コンポーネントです。
Linuxで中央ユーザー管理を行うための以下のツール[〜#〜] sssd [〜#〜]FreeIPA、Identity manager by redhat、Centrify Zero trust privilege、Jumpcloudなど。100台を超えるサーバーがある場合は、Redhatソリューション(Identity Manager)&サーバーが100未満の場合は、FreeIPAを選択できます。

FreeIPAhttps://www.freeipa.org/page/Main_Page )を使用して、ADで信頼セットアップを行うこともできますまたは[〜#〜] idm [〜#〜]これにより、存在するユーザーはADがサーバーにログインできると見なすことができます。

あなたがRHELサーバーしか持っていないことを述べたように、あなたはIDMを続行することができ、rootアカウントを維持するためにrootの直接ログインを無効にし、どのユーザーもrootに切り替えるべきではありません。 rootユーザーのパスワード管理については、パスワードマネージャーを検討してください。

0
Santosh Garole