관리자는 수백 개의 Linux 서버에서 사용자 계정을 어떻게 유지 관리합니까?


37

수백 개의 RHEL 서버를 다루는 데 어떻게 로컬 루트 계정과 네트워크 사용자 계정을 유지할 수 있습니까? 중앙 위치에서이를 관리하는 활성 디렉토리 유형 솔루션이 있습니까?

답변:


36

Active Directory의 핵심 구성 요소 중 하나는 LDAP이며 Linux에서 OpenLDAP389DS (및 기타) 형식으로 제공됩니다. 또한 다른 주요 구성 요소 Kerberos는 MIT KerberosHeimdal 형식으로 제공됩니다 . 마지막으로 컴퓨터를 AD에 연결할 수도 있습니다.


2
만족을 위해 클라이언트 측 에이전트 인 SSSD 도 언급해야합니다.
fuero

루트 계정은 어떻습니까?
Daniel Serodio

1
@DanielSerodio : 이것은 조직에 달려 있으며 처음부터 루트 액세스를 처리하는 방법에 달려 있습니다. 수백 대의 서버의 경우 어쨌든 Puppet과 같은 것을 사용하고 암호를 sudoers규칙 이나 규칙 (또는 둘 다) 으로 관리하는 데 사용합니다 .
Sven

26

퍼펫을 사용하여 사용자를 관리 할 수 ​​있습니다.

꼭두각시를 사용하여 사용자 계정을 관리하는 이유는 무엇입니까? (및 NIS, LDAP 등은 아님)

꼭두각시에서 사용자 계정을 관리하면 얻을 수있는 이점 중 하나는 분산되어 있다는 것입니다. 각 사용자 계정은 관리 서버의 일반 사용자 계정입니다. 꼭두각시 관리자가 아닌 꼭두각시가 만든 사실 이외의 사용자 계정 꼭두각시가 만드는 특별한 점은 없습니다. 이것에 대한 좋은 점은 메인 호스트가 죽더라도 인증을 잃지 않는다는 것입니다. 이는 꼭두각시 마스터 서버 (또는 NIS / LDAP 서버)에 특별한 가동 시간 요구 사항이 필요하지 않음을 의미합니다. 응급 상황이 발생하면 프로덕션 서버를 가동하는 데 집중하고 puppetmaster를 "필요한"방식으로 가동하는 데 집중할 수 있습니다. 이것의 단점은 꼭두각시가 반드시 "정상적인"로그인 사용자 계정을 관리하도록 설계되어 있지는 않다는 것입니다 (시스템 계정이 아닌). 가장 큰 방법은 꼭두각시에서 암호를 설정할 수 있지만 꼭두각시는 지속적으로 시스템 설정을 모니터링하고 (양호) 암호가 변경된 것을 알게되면 암호를 재설정합니다. (나쁜) 네트워크에서 사용자 비밀번호를 모니터링하고 싶지 않으므로 비밀번호를 설정하고 꼭두각시가이 비밀번호 모니터링을 중지하도록하는 방법이 필요합니다. 다행히도 일단 트릭을 파악하면 실제로 매우 쉽습니다. 그러나 먼저, 약간의 정의를 방해 해 봅시다.

http://docs.puppetlabs.com/pe/2.5/console_auth.html


이것은 LDAP, IME와 결합 될 때 유효한 솔루션입니다.
Tom O'Connor

@ TomO'Connor 내 의견으로는 로컬 전용 계정을 유지하는 데 완벽하게 유효합니다.
gertvdijk

이것은 매우 나쁜 생각입니다 ... 심각한 사용자 관리를 할 수 없으며 시간 프레임 액세스 관리가 아닌 부여 된 액세스를 빠르게 변경할 수 있습니다. 예를 들어 대학과 같이 수천 개의 계정을 관리하기에는 적합하지 않습니다.
jmary

4

SvenW가 언급했듯이 389DS와 Kerberos가 있습니다. RHEL 6.2 이후, Red Hat은 배포에 IPA 를 포함 시켰습니다 (따라서 CentOS에도 포함). 이것은 인증 및 권한 부여에 대한 정책 기반의 제어 및 선택적으로 DNS가 포함 된 389DS 및 Kerberos를 통합하는 완전한 ID 관리 제품군입니다. Active Directory와 단방향 또는 양방향 동기화를 위해 구성 할 수도 있습니다.

IPA는 RHEL 호스트에서 SSSD를 거의 요구하지만 그것 없이는 작동합니다. 솔라리스 10을 IPA에 연결하는 테스트도했습니다. IPA는 RHEL 호스트 설정을 매우 간단합니다.

이것은 FreeIPA 프로젝트를 기반으로합니다 .


대부분의 Linux 환경에서 RHEL 및 기타 Linux 서버의 경우 이것이 가장 좋은 선택입니다.
Michael Hampton

1

네트워크 사용자 계정의 경우 SvW와 같은 OpenLDAP가 언급되었습니다.

또한 로컬 계정 및 서버의 다른 모든 것을 관리하기 위해 "구성 관리 시스템"을 살펴 봐야합니다. CFEngine, Bcfg2, Puppet 및 Chef를 살펴보십시오. AWS를 사용하는 경우 OpsWorks에 Chefy가 있습니다.

100 대 이상의 서버를 관리해야하는 경우 Sysadmin이 10 명이거나 구성 관리 소프트웨어를 사용합니다.


1

이것은 명백한 대답 일 수 있지만 '활성 디렉토리 사용'입니다. 유닉스 특정 필드를 포함하기 위해 AD 스키마를 약간 수정해야하지만 일단 그렇게하면 플랫폼 간 작동하는 모든 사용자 계정의 단일 디렉토리가 있습니다.

아마도 유닉스 전용 상점이라면 유용하지 않을 것입니다. 그러나 실제로 많은 것을 보지 못했습니다. 그러나 AD는 실제로 LDAP 및 Kerberos의 핵심 요소를 상당히 잘 결합한 것입니다. 나는 그 아이러니 한 사실을 실제로 발견한다.

그러나 '무료로'얻을 수있는 것은 크로스 플랫폼 계정과 Kerberos 통합으로, 강력한 사용자 인증을 통해 'CIFS 인식'ACL 및 krb5i / p NFS 마운트를 적용하여 NFSv4 내보내기를 수행 할 수 있습니다.

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.