如何自定义默认的 linux/unix PAM 模块故障锁定以锁定集群中所有节点中的用户

如何自定义默认的 linux/unix PAM 模块故障锁定以锁定集群中所有节点中的用户

我已经在集群中的所有节点中实现了故障锁定,因此如果任何用户通过 ssh 登录尝试失败三次,他将被锁定一段时间。它在单个节点上工作正常,但我希望如果用户锁定在一个节点上,它应该锁定在所有节点上该集群中的节点。目前,这种情况仅发生在该节点上,以便用户能够登录到其他节点。示例 - ssh[电子邮件受保护]用户尝试登录该节点并三次给出错误的密码,因此用户被锁定在该节点上。

但他可以登录ssh[电子邮件受保护]很容易,因为他没有锁定在这个节点上。

如果用户锁定了一个节点 10.21.123.35,我也想将用户锁定在其他节点 10.21.123.34 上。我不知道如何实现这一点。

答案1

实现这一目标的常用方法是为整个集群使用集中式用户帐户数据库(例如 LDAP 或 Active Directory,如果您的站点上已存在)。然后,包含帐户数据库的系统将负责检查整个集群的用户密码,并且任何帐户锁定都将立即在集群范围内生效。

对于用户来说也更加方便,因为密码更改可以通过单个操作完成,而不需要单独登录每个节点来更改密码。

尽管切换到集中式用户帐户数据库对集群设置来说是一个很大的变化,但它可能是值得的:随着用户和系统数量的不断增加,最终会出现在每个主机上维护单独的用户帐户的情况变得不切实际。

相关内容