Redhat
管理員如何跨數百個 Linux 伺服器維護使用者帳戶?
面對數百台 RHEL 伺服器,我們如何維護本地 root 帳戶和網路使用者帳戶?是否有一個活動目錄類型的解決方案可以從中央位置管理這些?
Active Directory 的一個核心組件是 LDAP,它在 Linux 上以OpenLDAP和389DS(以及其他一些)的形式提供。此外,其他主要組件 Kerberos 以MIT Kerberos和Heimdal的形式提供。最後,您甚至可以將您的機器連接到 AD。
您可以嘗試使用 puppet 來管理使用者:
為什麼使用 Puppet 管理使用者帳戶?(而不是 NIS、LDAP 等)
在 puppet 中管理使用者帳戶的好處之一是它是分散的。每個使用者帳戶只是託管伺服器上的普通使用者帳戶。puppet 創建的使用者帳戶沒有什麼特別之處,只是它們是由 puppet 而不是人工管理員創建的。這樣做的好處是,如果主主機死了,我們不會失去身份驗證。這意味著我們的 puppetmaster 伺服器(或 NIS/LDAP 伺服器)不需要任何特殊的正常執行時間要求。如果發生緊急情況,我們可以專注於啟動生產伺服器,並專注於“根據需要”啟動 puppetmaster。這樣做的缺點是 puppet 不一定真正設計用於管理“普通”登錄使用者帳戶(而不是系統帳戶)。出現這種情況的最大方式是,雖然您可以在 puppet 中設置密碼,但 puppet 會持續監控系統設置(很好),如果發現密碼已更改,則會將其重置。(壞)我不想監控我們網路上的使用者密碼,所以需要有一種方法來設置密碼並讓 puppet 停止監控這個密碼。幸運的是,一旦你弄清楚了訣竅,這實際上真的很容易。但首先,讓我們先弄清楚一些定義。