Como configuro o SSH para permitir que 5 pessoas façam login em 100 caixas do Linux com as mesmas credenciais?

Navegue suas respostas
5

Suponha que eu tenha 5 usuários e 100 máquinas Linux com o shell remoto habilitado. Como configuro os ambientes para permitir que esses poucos usuários efetuem login em qualquer uma das máquinas com as mesmas credenciais?

    
por usr-local-ΕΨΗΕΛΩΝ 25.05.2012 / 22:34

2 respostas

2

Configurar domínio LDAP

Ao usar um domínio LDAP, todas as solicitações de autenticação para qualquer máquina são redirecionadas para o controlador de domínio. Até onde sei, algumas distribuições Linux podem entrar em um domínio do Windows, se você já tiver uma ativa. Com isso você tem controle centralizado total sobre todos os usuários da rede. Você pode adicionar e remover usuários imediatamente de uma única máquina.

Prós:

  • Mais fácil de manter
  • Efeito imediato do gerenciamento de usuários
  • Muito útil e barato se você tiver um domínio já ativo na sua empresa
  • Integrado com software de gerenciamento de domínio comum (ou seja, se você usa o Windows)

Contras:

  • Se o controlador LDAP não estiver em cluster, isso seria um ponto único de falha, portanto, é necessário levar em consideração mais servidores
  • (continuação) Os servidores extras para LDAP e cluster tornam a solução mais cara
  • Levemente difícil de configurar se você não tiver um controlador de domínio já em execução
  • AFAIK você não pode usar autenticação de chave pública

Distribuir chaves SSH de uma máquina centralizada

Isso é muito útil quando você deseja usar uma autenticação mais strong com chaves públicas. Você pode carregar todas as chaves dos usuários em uma única caixa que executa um trabalho Cron scp as pubkeys para os diretórios home corretos em determinados intervalos de tempo

Prós:

  • tolerante a falhas. Qualquer número de servidores pode falhar, mas as máquinas disponíveis não serão afetadas
  • Mais fácil e mais barato de configurar

Contras:

  • Se você tiver mais de "cinco" usuários, ou seja. você está trabalhando em uma grande rede corporativa, o gerenciamento de usuários é extremamente difícil
  • (continuação de cima), criação de usuário, exclusão, etc. deve ser feito para cada servidor, geralmente com um script que replica comandos
  • As chaves públicas são atualizadas em atraso se você não executar manualmente o script

Monte os diretórios iniciais em uma unidade de rede compartilhada (NFS, SSHFS ...)

Isso tem a vantagem dos efeitos em tempo real da modificação de chaves públicas (uma vez que são sempre lidos do compartilhamento de rede). Além disso, se você fizer /etc/shadow um link simbólico para uma unidade compartilhada, você tem gerenciamento de usuário em tempo real do seu controlador

Prós:

  • Não são muitas, exceto modificações em tempo real
  • O diretório inicial inteiro é compartilhado entre os servidores (geralmente é útil, acredite ...)

Contras:

  • Falha tolerante como o domínio LDAP. Você precisa replicar os diretórios pessoais ou não pode autenticar
  • Mais complicado que as soluções para configurar e manter
por 25.05.2012 / 22:34
1

Abaixo, veja como uma grande organização faz isso com as teclas Puppet e SSH. O puppetmaster distribui as contas de usuário, o diretório de configurações ssh de cada usuário e define uma senha para cada usuário.

link

Isso pode ser replicado em qualquer sistema de gerenciamento de configuração, não apenas no Puppet.

    
por 27.05.2012 / 05:13

Tags

Como permitir gravar em uma partição NFS montada SNMP Extend não está funcionando