Gerenciando o acesso a múltiplos sistemas linux

13

A procurou por respostas, mas não encontrou nada aqui ...

Longa história curta: uma organização sem fins lucrativos está em extrema necessidade de modernizar sua infra-estrutura. A primeira coisa é encontrar alternativas para o gerenciamento de contas de usuários em vários hosts Linux.

Temos 12 servidores (físicos e virtuais) e cerca de 50 estações de trabalho. Temos 500 usuários em potencial para esses sistemas. O indivíduo que construiu e manteve os sistemas ao longo dos anos se aposentou. Ele escreveu seus próprios scripts para gerenciar tudo. Ainda funciona. Não há queixas. No entanto, muitas das coisas são muito manuais e propensas a erros. O código é confuso e, depois, as atualizações geralmente precisam ser ajustadas. A pior parte é que há pouco ou nenhum documento escrito. Existem apenas alguns ReadMe's e notas aleatórias que podem ou não ser mais relevantes. Então a manutenção se tornou uma tarefa difícil.

Atualmente, as contas são gerenciadas via / etc / passwd em cada sistema. As atualizações são distribuídas por meio de scripts cron para corrigir sistemas, à medida que as contas são adicionadas no servidor "principal". Alguns usuários precisam ter acesso a todos os sistemas (como uma conta sysadmin), outros precisam de acesso a servidores compartilhados, enquanto outros podem precisar acessar estações de trabalho ou apenas um subconjunto deles.

Existe uma ferramenta que pode nos ajudar a gerenciar contas que atendam aos seguintes requisitos?

  • De preferência, o código aberto (ou seja, livre como orçamento é MUITO limitado)
  • mainstream (isto é, mantido)
  • preferencialmente tem integração LDAP ou pode ser feito para interagir com o serviço LDAP ou AD para autenticação do usuário (será necessário em breve para integrar contas com outros escritórios)
  • gerenciamento de usuários (adição, expiração, remoção, bloqueio, etc)
  • permite gerenciar a quais sistemas (ou grupos de sistemas) cada usuário tem acesso - nem todos os usuários são permitidos em todos os sistemas
  • suporte para contas de usuários que podem ter diferentes homedirs e montagens disponíveis dependendo do sistema em que eles estão conectados . Por exemplo
    • sysadmin logado no servidor "principal" tem main: // home / sysadmin / como homedir e tem todas as montagens compartilhadas
    • sysadmin logado nas estações de trabalho da equipe teria nas: // usuário / s / sysadmin como homedir (diferente do acima) e conjunto potencialmente limitado de montagens,
    • um cliente logado teria seu homedir em um local diferente e sem montagens compartilhadas.
  • Se houver uma interface de gerenciamento fácil, isso seria incrível.
  • E se esta ferramenta for multi-plataforma (Linux / MacOS / * nix), isso será um milagre!

Eu pesquisei na Web e não encontrei nada adequado. Estamos abertos a qualquer sugestão. Obrigado.

EDITAR: Esta questão foi marcada incorretamente como uma duplicata. O link para responder apenas fala sobre ter os mesmos homedirs em todos os sistemas, ao passo que precisamos ter homedirs diferentes com base no que o usuário do sistema está conectado atualmente (MULTIPLE homedirs). Também o acesso precisa ser concedido apenas a algumas máquinas e não a todo o lote. Mods, por favor, entenda toda a extensão do problema em vez de apenas marcá-lo como duplicado para pontos ...

    
por Swartz 12.06.2013 / 02:37

4 respostas

17

FreeIPA é provavelmente o que você está procurando. É para o Linux o que o Active Directory é para o Windows. (Ele também pode falar com o AD se você tiver um ambiente heterogêneo, mas não deve ser usado para gerenciar máquinas Windows diretamente. Use o AD para isso.)

documentação da Red Hat (eles chamam Identity Management) é muito completo e fácil de seguir, e deve ser aplicável principalmente se você não estiver usando sistemas derivados da Red Hat.

    
por 25.06.2013 / 01:13
6

Sugiro um consultor local bom para avaliar os detalhes da sua situação ...

Realmente.

Pode haver outros requisitos ou nuances de negócios que as pessoas neste fórum podem não reconhecer ou ser investidas - o suficiente para considerar. Um recurso dedicado é a sua melhor aposta ... Caso contrário, estamos apenas lançando recomendações de produtos para você em algo que está fora do escopo por um simples Q & A.

Apesar disso, a abordagem my seria alavancar o Microsoft Active Directory e amarrar os sistemas Linux em SSSD ou LDAP. O FreeIPA é bom em uma casa totalmente Linux, mas mesmo que você diga "sem fins lucrativos", isso não necessariamente exclua o Windows. Você vai encontrar o Active Directory em algum lugar ao longo do caminho. Você pode querer aumentar isso com diretórios pessoais montados automaticamente, mas os detalhes de quem é montado quando ou onde não estão claros.

Mesmo nos ambientes de nuvem privada 99% Linux que eu construo agora, eu ainda confio no Active Directory para facilidade de gerenciamento e autenticação centralizada. Grupos e permissões de acesso são fáceis, a política de senhas e o envelhecimento da conta são diretos. Quaisquer preocupações sobre sustentabilidade, mindshare e compatibilidade são abordadas pela solução da Microsoft. A replicação está incorporada, está bem documentada e há um pouco de proteção do futuro inerente à tecnologia.

No entanto, faltam alguns detalhes da sua pergunta original ...

  • Quais distribuições específicas do Linux estão presentes no ambiente? As versões são consistentes?
  • Você precisa do mesmo nível de granularidade de gerenciamento para seus sistemas Macintosh (a maioria das organizações não tenta gerenciar totalmente os computadores Apple)?
  • Existem usuários remotos?
  • Você menciona "* nix" - Que tipo de * nixes estão presentes?
por 25.06.2013 / 03:50
3

O sistema atual funciona, mas é difícil de gerenciar. Eu estou supondo que há outros problemas também para gerenciar esses servidores, se tudo foi feito manualmente. Eu adotaria uma abordagem diferente, não substituindo algo que funciona (gerenciamento de usuário) e resolvendo o problema de administração dos servidores.

Eu recomendo usar algo como o link do cfengine (edição gratuita) para "modernizar" a administração do sistema, não apenas o gerenciamento de usuários. É uma boa oportunidade para experimentá-lo, porque o seu sistema atual funciona muito bem como usar o cfengine para distribuir a configuração para os servidores, no seu caso, o / etc / passwd. Então, em vez de substituir, migre esses scripts para o cfengine. Espero que o impacto seja mínimo, porque você ainda está usando o mesmo / etc / passwd.

Assim que estiver confortável com o cfengine, você poderá criar mais receitas para resolver mais problemas, como ter um sistema de gerenciamento de usuários completamente novo e ter a ferramenta para gerenciar a configuração nos servidores.

Para ajudar você a começar, encontrei este link link que mostra como distribuir o arquivo / etc / arquivos passwd e relacionados.

Mesmo se você quisesse substituir o sistema de gerenciamento de usuários agora, ainda precisa de uma ferramenta de administração para gerenciar esses servidores. É melhor usar a ferramenta de administração mais cedo do que tarde e reconfigurar o gerenciamento de usuários em uma ferramenta de administração.

    
por 25.06.2013 / 06:15
0

Apenas algumas coisas rápidas para adicionar -

Tenho usado o Puppet na minha implantação - uma ideia semelhante à cfengine - link

Isso também pode fazer o gerenciamento de usuários e a configuração geral / gerenciamento do servidor.

Se você quisesse experimentar algo tão versátil quanto o Samba, ele poderia ter as possibilidades de fazer o gerenciamento dos diretórios com alguma configuração, bem como a possibilidade de usar um backend LDAP para configuração. O Samba 4 amadureceu muito e pode realmente fornecer um ambiente integrado com Windows e Linux para gerenciamento / autenticação.

O Samba funciona com o AD ou como um substituto para o AD.

Existe também um produto chamado Centrify que eu olhei há algum tempo atrás. Eu nunca fui muito longe com isso, mas acredito que eles também têm uma versão freeware / opensource. Se bem me lembro, tinha potencial para um ambiente misto, fornecendo gerenciamento do Windows e Linux, e possivelmente do Mac.

Gostaria de secundar a sugestão de um consultor. Essas implantações podem ser muito complicadas de configurar muito rapidamente, mas fáceis de manter, uma vez que estejam documentadas e configuradas.

Melhor da sorte

    
por 01.07.2013 / 23:15