Linux
適用於 Linux 和 Windows 的伺服器憑據管理
我們是一家相對較小的商店(就係統管理員的數量而言),混合了 RHEL、Solaris、Windows 2003 和 Windows 2008 伺服器;總共大約 200 台伺服器。
對於我們的管理員帳戶(
root
在 Linux 和admnistrator
Windows 中),我們有一個密碼方案,該方案取決於數據中心位置和伺服器的其他一些記錄屬性。在 Linux 上,我們目前的做法是創建一個共享的非特權帳戶,以便我們
su
可以root
. 在基於 Windows 的系統上,我們創建了一個具有管理員權限的附加帳戶。這兩個帳戶共享相同的密碼。這已被證明是非常低效的。當有人離開我們的商店時,我們必須:
- 更改管理員帳戶的密碼方案
- 為每台伺服器生成一個新的管理員密碼
- 想出一個新的非管理員帳戶密碼
- 觸摸每台伺服器並更改密碼
我想知道在類似環境中是否有人可以建議一種更明智的方式來管理這些憑據。一些相關資訊:
- 儘管我們的大多數伺服器都屬於我們的 AD 域,但並非全部都是。
- 我們使用 Puppet 管理我們所有的 Linux 伺服器(密鑰身份驗證是我想到的一個選項,但它只會解決上面提到的 #3 問題)。
- 我們使用 Cobbler 配置 Linux 伺服器。
- 我們大約 10% 的硬體專用於 VMWare。在這些情況下,我們使用 VMWare 模板進行伺服器建構。
任何想法或建議將不勝感激。這是一個困擾了一段時間的問題,我終於想解決它。
我的一些建議是:
- Windows AD 連接的伺服器可以使用組策略首選項 (GPP) 或電腦啟動腳本通過組策略設置其本地管理員密碼。請參閱http://social.technet.microsoft.com/Forums/en-US/winserverGP/thread/b1e94909-bb0b-4e10-83a0-cd7812dfe073/
- 除非需要,否則限制在 Windows 伺服器上創建本地帳戶。盡可能使用 AD 帳戶。
- 使用 LDAP for Linux 電腦向 AD 驗證管理員帳戶。這在一定程度上簡化了帳戶管理。當管理員只在一個地方禁用並且無法訪問時,您可以在閒暇時清理 Linux 端。
- 使用 /etc/sudoers 文件獲取 linux 上的特定管理員帳戶,然後管理員不需要 root 密碼。這在您的實例中可能很好,因為這樣他們將很少需要 root 密碼,因此可以將其鎖定。更新
- 將 root 和本地管理員密碼保存在密碼保險箱中,而不是一般知識。一些密碼保險箱具有授權和日誌記錄功能,因此如果該人從未訪問過密碼,您甚至可能不需要重置密碼。
- 自動為 root 和 admin 帳戶重置密碼。Linux 和 Windows 都可以編寫腳本來執行此操作,因此它可以節省您一些時間並且不會造成太大的負擔。
希望有幫助。