Метод централизованной аутентификации
У меня в сети более 1000 серверов Linux/Unix(Solaris), и я хочу внедрить какой-нибудь централизованный сервер входа в систему. Так что я создаю пользователей на одном сервере, и он может войти на любой сервер в моей сети. Но было бы какое-то исключение, которое я хочу реализовать как каждый, я не хочу давать каждому пользователю доступ к каждому серверу. Как парень из команды разработчиков не должен иметь доступа к серверам команды Fault Management и наоборот.
Я не хочу использовать LDAP. Я слышал о Kerberos и RADIUS или Radius+SSH+LDAP. Пожалуйста, предложите, какой будет лучший путь. Я просто хочу централизованное управление пользователями и управление доступом к серверу.
Спасибо & С уважением Рамеш Кумар
3 ответа
Вы должны иметь центральное хранилище пользователей, что означает какую-то службу каталогов. В наши дни это означает Active Directory, eDirectory, OpenLDAP или какой-либо другой сервер в стиле LDAP. Затем этот центральный сервер может общаться с различными типами протоколов аутентификации с пониманием, что рано или поздно служба аутентификации свяжется со службой каталогов и что служба каталогов, вероятно, будет разговаривать по LDAP. Это имеет место, даже если у службы каталогов есть собственный API, потому что все говорит на LDAP, поэтому приложения обычно используют это в наше время.
Active Directory, конечно, является самым простым выбором в наши дни, так как Microsoft настаивала на том, чтобы он был повсеместным и удовлетворял большинству потребностей.
Я предпочитаю eDirectory, потому что он обладает очень большой стабильностью и масштабируемостью, более дружественен к Unix, чем AD (как для клиентов, так и для серверов), и имеет модель репликации, которую нельзя превзойти.
Openldap (и его производные, в том числе Apple Open Directory) гораздо дешевле и модифицируемее, чем другие, являясь записью с открытым исходным кодом, но у меня сложилось впечатление, что в крупных развертываниях он немного более хрупок, а управление сложнее.
Есть также некоторые другие серверы LDAP (такие как Oracle Directory Server, который может хорошо вписаться в ваши коробки Sun), но я менее знаком с ними и поэтому не могу дать точные данные. Учитывая, что вы, похоже, хотите избежать LDAP, вы можете проверить, какие методы аутентификации поддерживает каждая служба каталогов для серверов Unix, и основывать свое решение на этом.
На самом деле есть только одно решение: LDAP, если вы не пойдете по-настоящему устаревшим путем: NIS, NIS +.
LDAP может очень хорошо работать с сетевыми группами для определения того, какие люди имеют доступ к каким серверам, есть вики проекта Fedora на эту тему. Вы также можете сохранить sudo
Конфигурация в LDAP, и для дополнительного преимущества, уже есть решения для веб-управления для нее, GOsa² является одним из лучших, более ориентированных на Linux.
Может быть, просто скажите нам, почему вы не хотите LDAP, таким образом, мы сможем решить ваши проблемы с ним...
Есть три способа обойти проблему сети или сервера:
- использовать реплицированную настройку с несколькими серверами LDAP (и nss_ldap, и pam_ldap будут использовать сервер резервного копирования, когда основной не работает), документация OpenLDAP довольно обширна в этой теме
- использовать кеширование на клиенте, pam_ccreds или Fedora SSSD
- идти по самому тяжелому маршруту: использовать дополнительный сервер LDAP на самых важных серверах
Если ваш linux является производным от Red Hat, взгляните на freeipa. После этого вы получаете простой способ установки ldap + kerberos. У них также есть клиент Solaris, надеюсь, кто-нибудь в Canonical проснется и освободит ресурсы, необходимые для работы клиентов Ubuntu в таком домене.