ฉันต้องตั้งค่าเครือข่ายของเครื่อง Ubuntu และเซิร์ฟเวอร์ยี่สิบเครื่อง ตามที่ตอนนี้ผู้ใช้มีบัญชีโลคัลบนเครื่อง แต่ฉันต้องการให้มีการพิสูจน์ตัวตนผู้ใช้แบบรวมศูนย์โดยมีข้อมูลผู้ใช้ทั้งหมดเก็บไว้ในเซิร์ฟเวอร์และมีโฮมไดเรกทอรีฝั่งเซิร์ฟเวอร์ ดังนั้นเมื่อผู้ใช้ล็อกอินในคอมพิวเตอร์ไคลเอนต์ใด ๆ ควรตรวจสอบชื่อผู้ใช้และรหัสผ่านของเขาบนเซิร์ฟเวอร์จากนั้นโฮมไดเร็กตอรี่ของเขาควรถูกเมาท์จากเซิร์ฟเวอร์ผ่านทาง NFS หรือบางอย่าง
ฉันจะทำสิ่งนี้ได้อย่างไร วิธีไหนดีที่สุด
คำตอบ:
ฉันเคยทำอะไรแบบนี้มาก่อน LDAP เป็นทางออกที่ดีที่สุดของคุณสำหรับบัญชีรวมศูนย์ นี่เป็นมาตรฐานที่สมเหตุสมผลและควรติดตั้งง่าย ไคลเอ็นต์เป็นเพียงเรื่องของการติดตั้งแพ็กเกจสองสามอย่าง (ldap-utils, libnss-ldap และ libpam-ldap) และการแก้ไข /etc/pam.d/common-(everything) คุณจะต้องเพิ่มบรรทัดเช่น
<type of file goes here> sufficient pam_ldap.so
เช่นเดียวกับสิ่งนี้คุณจะต้องแก้ไข /etc/nsswitch.conf เพื่อเพิ่ม ldap ที่ส่วนท้ายของเงากลุ่มและรหัสผ่าน
เซิร์ฟเวอร์ค่อนข้างซับซ้อนกว่า นี้ดูเหมือนว่าจะรวมค่อนข้างได้ถึงวันที่ตัวอย่างของวิธีการที่จะตั้งขึ้น เอกสาร OpenLDAP เป็นสิ่งที่ควรค่าแก่การอ่าน
สำหรับ homedirs คุณจะต้องใช้ NFS ขึ้นอยู่กับว่าคุณต้องการยกเลิกการต่อเชื่อมเมื่อผู้ใช้ไม่ได้เข้าสู่ระบบหรือไม่คุณอาจต้องการใช้ตัวนับอัตโนมัติ (autofs) ฉันไม่เคยใช้สิ่งนี้ดังนั้นฉันจึงไม่สามารถบอกคุณได้ว่าคุณกำลังประสบปัญหาอยู่ที่ใด แต่การทำงานโดยไม่ควรใช้งานได้อย่างสมบูรณ์และจะให้เอฟเฟกต์เดียวกันกับคุณด้วยการตั้งค่าที่ซับซ้อนน้อยกว่ามาก
เห็นได้ชัดว่าคุณสามารถใช้ LDAP สำหรับบัญชีผู้ใช้ส่วนกลาง ฉันบอกว่ามันไม่ง่ายเลยที่จะตั้งค่า เราไม่เคยทำเพราะเรามีผู้ใช้ไม่มาก อย่างไรก็ตามไดเรกทอรีส่วนกลางถูกนำมาใช้ สิ่งนี้ทำได้โดยการเมาท์ NFS ของโฮมไดเร็กทอรีของเซิร์ฟเวอร์กลางบนเซิร์ฟเวอร์อื่น มันใช้งานได้ดีมาก
นอกจากนี้คุณอาจต้องการดูfreeIPAซึ่งเป็นตัวควบคุมไดเรกทอรีโอเพนซอร์ซสำหรับ Linux
มันเชื่อมโยงกันเซิร์ฟเวอร์ไดเรกทอรี 389สำหรับ LDAP, MIT krb5สำหรับ Kerberos, ISC NTPdสำหรับ NTP, BINDสำหรับ DNS, Dogtagสำหรับการจัดการใบรับรอง ... จริง ๆ แล้วมันรวมทุกอย่างที่คุณต้องการในตัวควบคุมโดเมนและรวมเว็บไว้ด้วยกัน อินเตอร์เฟสและไคลเอ็นต์บรรทัดรับคำสั่ง