我们有一个由 60 多台主机(solaris 和 linux)组成的设置。我们想要开发/安装一个工具来帮助我们重置密码、创建/删除帐户以及执行其他常见的用户帐户管理任务。
我们已经将 webmin、puppet 和 AD 集成视为潜在的解决方案。但是它们要么太昂贵,要么有太多漏洞(弱点),要么我们的架构不允许这样的部署。所以我们仍在寻找。
我们的要求是 - 1. 免费并且最好是 oss。2. 不需要有 web UI。可以是一个简单的库/api,我们可以使用它来编写用户管理工具脚本。3. 适用于 linux 和 solaris 主机。
答案1
本质上你有两个选择:
- 通过配置管理创建用户
- 集中式身份验证
1 可以通过使用以下工具来实现木偶,厨师,CF引擎, ETC。
这些工具允许您创建应用于所有节点的配置,但是使用这些工具管理用户的一个缺点是您无法集中设置密码(每个节点都有自己的用户,他们有自己的密码和自己的有效期)并且您无法轻松更改用户组 - 您可以通过配置添加到组但不一定删除组。
2 通常通过创建 LDAP 基础设施(可选使用 Kerberos)来实现。
集中式身份验证意味着用户在任何地方都有相同的密码,并且群组很容易更改。
您可以重新使用现有基础架构(例如 Active Directory),也可以设置新的 LDAP 基础架构。一个值得考虑的系统是免费IPA。它集成了 LDAP、Kerberos 和可选的 DNS。对于 Linux 客户端,它通过脚本提供简单的设置,对于 Solaris 客户端,您只需将它们设置为 LDAP(和可选的 Kerberos)客户端。FreeIPA 实施策略,以便您可以设置密码/帐户到期时间和密码复杂性。
FreeIPA 还可以提供与 Active Directory 的单向或双向同步。
答案2
您是否想要为该信息建立一个可供所有机器访问的集中式数据存储,或者您是否想要在每台机器上进行本地(或许独立)配置?
如果是前者,您可能需要研究 LDAP 或 Active Directory 集成;这将确保在中央目录中更改的密码立即反映在与其连接的所有机器上。
如果是后者,那么木偶或者CF引擎是您最好的选择。特别是 cfengine 几乎可以在任何地方运行(当然在 Linux 和 Solaris 主机上),并且允许您轻松创建和管理用户。这是快速入门指南熟悉 cfengine。
此外,在提问时明确说明您的限制条件将有助于您获得更具建设性的答案。您的架构如何阻止了哪些潜在解决方案的使用?如果您列出已经尝试过的方法以及为什么这些方法不起作用,那么人们就会知道不要引导您走上无用的道路,或者也许能够帮助您解决遇到的问题。