Lidando com centenas de servidores RHEL, como podemos manter contas raiz locais e contas de usuários de rede? Existe uma solução de tipo de diretório ativo que os gerencia de um local central?
Um componente central do Active Directory é o LDAP, que está disponível no Linux na forma de OpenLDAP e 389DS (e alguns outros). Além disso, o outro componente principal do Kerberos está disponível na forma de MIT Kerberos e Heimdal . Finalmente, você pode até conectar suas máquinas ao AD.
Você pode experimentar o fantoche para gerenciar o usuário:
Why Use Puppet to Manage User Accounts? (and not NIS, LDAP, etc)
One of the benefits to managing user accounts in puppet is the fact that it is decentralized. Each user account is just a normal user account on the managed server. There is nothing special about the user accounts puppet creates other than the fact they were created by puppet and not by a human administrator. The nice thing about this is that if the main host dies, we do not lose authentication. Which means that our puppetmaster server (or NIS/LDAP server) need not have any special uptime requirements. If an emergency happens, we can focus on getting our production servers up, and focus on getting the puppetmaster up on an “as needed” basis. The downside to this is that puppet is not necessarily really designed to manage “normal” login user accounts (as opposed to system accounts). The biggest way this comes up is that, although you can set the password in puppet, puppet continually monitors system settings (good) and if it notices that the password has changed, will reset it. (bad) I do not want to monitor user passwords on our network, so there needs to be a way to set a password and have puppet stop monitoring this password. Fortunately, once you figure out the trick, this is actually really quite easy. But first, let’s get some definitions out of the way.
Como SvenW menciona, há o 389DS e o Kerberos. Desde o RHEL 6.2, a Red Hat incluiu o IPA na distribuição (e, portanto, também está no CentOS). Esse é um conjunto completo de gerenciamento de identidades que incorpora o 389DS e o Kerberos, com controle baseado em diretivas sobre autenticação e autorização e, opcionalmente, DNS. Pode até ser configurado para sincronização unidirecional ou bidirecional com o Active Directory.
OIPA praticamente requer SSSD em hosts RHEL, mas funciona sem ele. Eu até testei conectando o Solaris 10 ao IPA (funciona, mas um pouco complicado). O IPA é bastante simples de configurar para hosts do RHEL.
Isso se baseia no projeto FreeIPA .
Para suas contas de usuário de rede, o OpenLDAP, como a SvW, mencionou.
Você também deve procurar em "Sistemas de gerenciamento de configuração" para gerenciar suas contas locais e tudo o mais em seus servidores. Dê uma olhada no CFEngine, Bcfg2, Puppet e Chef. Se você estiver usando o AWS, eles têm uma grande preocupação com o OpsWorks.
Se você realmente precisa gerenciar mais de 100 servidores, você tem 10 Sysadmins ou usa o software Configuration Management.
Esta pode ser uma resposta óbvia, mas "use o diretório ativo". Você precisa modificar um pouco o nosso esquema do AD, para incluir campos específicos do Unix, mas, assim que o fizer, você terá um único diretório de todas as suas contas de usuário que funciona em várias plataformas.
Talvez menos útil se você for uma única loja do Unix - mas ainda não vi muitas delas. Mas o AD é na verdade uma boa mistura dos principais elementos do LDAP e do Kerberos. Acho isso um pouco irônico, na verdade.
Mas o que você obterá 'gratuitamente' são contas multiplataforma e integração Kerberos para que você possa exportar NFSv4 aplicando ACLs 'CIFS reconhecido' e montagens NFS krb5i / p, com autenticação de usuário strong (er).