ฉันจะทำให้ผู้ใช้ acccounts สอดคล้องกันในหลาย ๆ เครื่องได้อย่างไร

16

ตอนนี้ฉันมี Raspberry Pi ซึ่งทำงาน Debian Wheezy แล้ว ฉันมีเครื่องสองเครื่อง (4 เครื่อง, 2 เครื่องเสมือน) ที่นี่และฉันต้องการรวมบัญชีผู้ใช้ในเครื่องเหล่านั้น

เครื่องที่ฉันใช้มี Debian อนุพันธ์ต่อไปนี้ติดตั้งอยู่

  • Debian Wheezy (armhf)
  • Debian เสถียร (amd64)
  • เดเบียนไม่เสถียร (amd64)
  • Ubuntu 14.04 (amd64)

ฉันจะตั้งค่าบัญชีผู้ใช้ในทุกเครื่องได้อย่างไร ฉันต้องการให้ชื่อชื่อยาวรหัสผ่านและ UID นั้นสอดคล้องกัน

ในอนาคตฉันต้องการที่จะรวมส่วนอื่น ๆ ของการกำหนดค่าอาจจะ

  • HTCondor
  • เมานต์พอยท์ (แซมบ้า)
  • /etc/apt/sources.list
  • การปรับปรุงแบบอัตโนมัติ

เนื่องจากฉันใช้ตัวแปร Ubuntu และ Debian ที่sources.listแตกต่างกันค่าจะแตกต่างกันเล็กน้อย แต่จะเหมือนกันในการแจกจ่ายแต่ละครั้ง

อะไรจะเป็นแนวทางที่ดีสำหรับสิ่งนี้

users 
Martin Ueding
แหล่งที่มา
1
คุณควรตั้งค่าผู้ใช้ทั้งหมดเป็นldapผู้ใช้
Ramesh
1
@Ramesh นั่นหมายความว่าผู้ใช้สามารถเข้าสู่ระบบได้เฉพาะเมื่อมีการเชื่อมต่อเครือข่ายหรือไม่?
Martin Ueding
ใช่. คุณอาจต้องเชื่อมต่อเครือข่ายเพื่อldapให้ทำงานได้ แต่มันช่วยให้คุณไม่ต้องเจ็บปวดกับการตั้งค่าผู้ใช้ในทุกเครื่อง
Ramesh
มีเครื่องหนึ่งเครื่องที่เปิดอยู่ตลอดเวลาและสามารถเข้าถึงได้ผ่านเครือข่ายหรือไม่? มีเครื่องหนึ่งเครื่องที่เปิดใช้งานอยู่เสมอและสามารถเข้าถึงได้เมื่อคุณต้องการเปลี่ยนรหัสผ่านหรือไม่?
Gilles 'หยุดความชั่วร้าย'
1
@ramesh คุณสามารถมี LDAP ออฟไลน์โดยใช้SSSD
แพทริค

คำตอบ:

14

โดยทั่วไปคุณมี 2 ตัวเลือก

  1. ใช้ระบบการรับรองความถูกต้องภายในเครื่องของแต่ละเครื่องและผลักดันการเปลี่ยนแปลงข้อมูลประจำตัวของพวกเขาทั้งหมด
  2. ใช้เซิร์ฟเวอร์การตรวจสอบความถูกต้องจากส่วนกลาง

1. การพิสูจน์ตัวตนในท้องถิ่นให้ตรงกัน

มีหลายผลิตภัณฑ์ที่ทำสิ่งนี้ได้อย่างง่ายดาย Puppet , Chef , Ansible , และSaltเป็นตัวอย่างที่พบได้ทั่วไป เครื่องมือทั้งหมดนี้อยู่ภายใต้สิ่งที่เรียกว่า " การจัดการการกำหนดค่า "

โดยทั่วไปคุณจะมีพื้นที่เก็บข้อมูลที่คุณกำหนดข้อมูลรับรองการตรวจสอบของคุณเป็นรหัส "รหัส" จะง่ายเหมือนคำสั่งที่ระบุชื่อผู้ใช้และรหัสผ่านที่แฮช จากนั้นคุณจะซิงค์รหัสนี้กับเครื่องทั้งหมดของคุณและเรียกใช้เครื่องมือ CM ที่คุณเลือก จากนั้นเครื่องมือ CM จะอัปเดตข้อมูลรับรองการตรวจสอบสิทธิ์ในเครื่องของผู้ใช้แต่ละคน

เนื่องจากคุณบอกว่าคุณต้องการกำหนดค่าประเภทอื่นด้วยเช่นกันนี่อาจเป็นโซลูชันที่เหมาะสมกว่า

2. การตรวจสอบจากส่วนกลาง

รูปแบบที่พบบ่อยที่สุดของการตรวจสอบจากส่วนกลางคือ LDAP การเรียกใช้เซิร์ฟเวอร์ LDAP อาจดูน่ากลัว แต่มีโซลูชันที่ทำแพคเกจที่ดีเช่นFreeIPAซึ่งทำให้สามารถจัดการได้ง่าย

ตอนนี้หนึ่งในความคิดแรกของคุณอาจเป็น: "ฉันต้องการการรับรองความถูกต้องในการทำงานแม้ว่าเซิร์ฟเวอร์กลางจะไม่ทำงาน" นี้สามารถทำได้อย่างง่ายดายโดยใช้SSSD เมื่อผู้ใช้ลงชื่อเข้าใช้เซิร์ฟเวอร์เป็นครั้งแรก SSSD จะให้คำแนะนำแก่ LDAP (หรือ kerberos หากมีการจ้างงาน) และหากข้อมูลรับรองนั้นถูกต้องข้อมูลนั้นจะเก็บข้อมูลเหล่านั้นไว้ในเครื่องท้องถิ่น หากเซิร์ฟเวอร์ LDAP ไม่พร้อมใช้งานจะกลับไปใช้แคช ดังนั้นตราบใดที่ผู้ใช้เข้าสู่ระบบครั้งเดียวพวกเขาจะสามารถเข้าสู่ระบบต่อไปหาก LDAP ไม่พร้อมใช้งาน

3. การรวมกันของทั้งสอง

คุณสามารถใช้ทั้งสองวิธีร่วมกันได้ นี่เป็นเรื่องธรรมดามากในสภาพแวดล้อมขององค์กรขนาดใหญ่ แต่สามารถใช้งานขนาดเล็กได้เช่นกัน โดยทั่วไปคุณจะมีเซิร์ฟเวอร์การตรวจสอบความถูกต้องจากส่วนกลางและคุณจะใช้เครื่องมือ CM เพื่อกำหนดค่าไคลเอนต์เพื่อใช้งาน

แพทริค
แหล่งที่มา
ขอบคุณมากที่ควรให้จุดเริ่มต้นกับฉันมากพอ! :-)
Martin Ueding
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.