Làm cách nào tôi có thể giữ cho người dùng tích lũy liên tục trên nhiều máy?

15

Bây giờ tôi có Raspberry Pi chạy Debian Wheezy. Tôi có một vài máy (4 vật lý, 2 ảo) đang ngồi ở đây và tôi muốn thống nhất các tài khoản người dùng trên các máy đó.

Các máy tôi chạy có các dẫn xuất Debian sau được cài đặt trên chúng:

  • Debian Wheezy (armhf)
  • Ổn định Debian (amd64)
  • Debian không ổn định (amd64)
  • Ubuntu 14.04 (amd64)

Làm cách nào tôi có thể thiết lập tài khoản người dùng trên tất cả các máy như nhau? Tôi muốn rằng tên, tên dài, mật khẩu và UID là nhất quán.

Trong tương lai, tôi muốn thống nhất các phần khác của cấu hình, có thể

  • HTCondor
  • Đỉnh núi (Samba)
  • /etc/apt/sources.list
  • Cập nhật không giám sát

Vì tôi sử dụng các biến thể Ubuntu và Debian khác nhau, nên sources.listsẽ khác nhau một chút, nhưng nó sẽ giống nhau trên mỗi bản phân phối.

Điều gì sẽ là một cách tiếp cận tốt cho việc này?

users 
Martin Uting
nguồn
1
Bạn nên thiết lập tất cả người dùng là ldapngười dùng.
Ramesh
1
@Ramesh Điều đó có nghĩa là người dùng chỉ có thể đăng nhập khi có kết nối mạng?
Martin Uting
Vâng. Bạn có thể cần kết nối mạng ldapđể làm việc. Nhưng nó giúp bạn tiết kiệm nỗi đau khi thiết lập người dùng trong tất cả các máy.
Ramesh
Có một máy luôn luôn bật và có thể truy cập qua mạng không? Có một máy luôn bật và có thể truy cập khi bạn muốn thay đổi mật khẩu của mình không?
Gilles 'SO- đừng trở nên xấu xa'
1
@ramesh Bạn có thể có LDAP ngoại tuyến bằng SSSD .
Patrick

Câu trả lời:

13

Về cơ bản bạn có 2 lựa chọn.

  1. Sử dụng hệ thống xác thực cục bộ của từng máy và đưa ra các thay đổi thông tin xác thực cho tất cả chúng.
  2. Sử dụng một máy chủ xác thực tập trung.

1. Xác thực cục bộ được đồng bộ hóa

Có nhiều sản phẩm thực hiện điều này một cách dễ dàng. Con rối , Đầu bếp , AnsibleMuối là một vài trong số những người phổ biến hơn. Tất cả các công cụ này thuộc " Quản lý cấu hình ".

Về cơ bản, bạn sẽ có một kho lưu trữ trong đó bạn xác định thông tin xác thực của mình dưới dạng mã. "Mã" sẽ đơn giản như một lệnh chỉ định tên người dùng và mật khẩu băm. Sau đó, bạn sẽ đồng bộ mã này với tất cả các máy của mình và chạy bất kỳ công cụ CM nào bạn chọn. Công cụ CM sau đó sẽ cập nhật thông tin xác thực cục bộ của từng người dùng (cũng tạo người dùng nếu cần thiết).

Vì bạn nói rằng bạn cũng muốn thực hiện các loại cấu hình khác, đây có thể là giải pháp phù hợp hơn.

2. Xác thực tập trung

Hình thức phổ biến nhất của xác thực tập trung là LDAP. Chạy một máy chủ LDAP có vẻ khó khăn, nhưng có một số giải pháp đóng gói tốt như FreeIPA giúp dễ dàng quản lý.

Bây giờ một trong những suy nghĩ đầu tiên của bạn có thể là: "Tôi muốn xác thực hoạt động ngay cả khi máy chủ trung tâm ngừng hoạt động". Điều này dễ dàng được thực hiện bằng cách sử dụng SSSD . Khi người dùng lần đầu đăng nhập vào máy chủ, SSSD sẽ xử lý LDAP (hoặc kerberos nếu được sử dụng) và nếu thông tin đăng nhập hợp lệ, nó sẽ lưu trữ chúng trên máy cục bộ. Nếu máy chủ LDAP không khả dụng, nó sẽ quay trở lại sử dụng bộ đệm của nó. Do đó, miễn là người dùng đã đăng nhập một lần, họ sẽ có thể tiếp tục đăng nhập nếu LDAP không khả dụng.

3. Kết hợp cả hai

Bạn cũng có thể sử dụng kết hợp cả hai giải pháp. Điều này rất phổ biến trong môi trường doanh nghiệp quy mô lớn, nhưng cũng có thể được sử dụng quy mô nhỏ. Về cơ bản, bạn có một máy chủ xác thực tập trung và bạn sẽ sử dụng công cụ CM để định cấu hình các máy khách sử dụng nó.

Patrick
nguồn
Cảm ơn bạn rất nhiều, điều đó sẽ cho tôi đủ điểm khởi đầu! :-)
Martin Uting
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.