在 Linux 网络中,是否可以从中心位置管理权限?
如果我有一个可供用户进行身份验证的 LDAP 服务器,我可以从那里管理权限吗?
我谈论的是服务器(比如 Samba)的权限,但也包括他们自己机器内部的权限。
还有什么其他方法可以管理它们?
答案1
是的,您可以使用 LDAP。如果您愿意让用户使用密码,您可以将密码存储在 LDAP 中,并分别使用 nss ldap 和 pam ldap 从您的目录中识别和验证用户。
您需要在 LDAP 中为用户添加一些自定义属性,以便为他们提供 unix 用户 ID 和密码。
如果您想要 ssh 密钥,则需要安装 sshd 补丁,以便从 LDAP 获取密钥,这通常不是一个选项。这就是我们使用的方法,它工作得很好(几十位授权工程师,650 多台服务器)。
答案2
答案3
正如其他人提到的,LDAP 是一种非常简单的方法。Linux 文档可以在这里找到这里。当设置 pam 配置时,您可以指定用户必须是特定组的成员才能登录,这允许您使用 LDAP 工具从组中添加/删除用户,以允许/拒绝他们访问特定服务器。
如果您只是使用 SAMBA 并且拥有一个可以将机器加入的 Active Directory 域,Samba 可以加入域。这和 Winbind 将允许您管理用户可以访问哪些共享。
至于通过策略管理最终用户工作站,我不太确定。如果您愿意花钱(在其 Zen 系列下),Novell 可以为您提供一些解决方案。