我正在运行一个小型局域网,可供 5 名用户使用,并提供一些基本服务,例如 NFSv4 安装和 SOGo 组件。由于这似乎是一个好主意,而且易于实施,因此身份验证是 Kerberos(带有 LDAP 后端)和 OpenLDAP 中的权威用户数据(主目录、shell 等)的组合。只有 5 名用户,使用 LDAP 浏览器和命令行kadmin
工具添加新用户帐户非常简单。现在环境正在发展,包括不太懂技术的用户;限制帐户有效性等任务现在更频繁地发生。
在它变成一个大麻烦之前,我想寻找将 LDAP + Kerberos 组合用于用户管理的最佳实践。但我发现什么都没有!我无法想象人们会使用脚本或采用 Active Directory(特别是在纯 Unix 环境中)?在这种情况下,有没有办法使用类似于useradd
/ userdel
/的工具来管理用户usermod
?
答案1
我确实考虑设置一个 Active Directory - 尽管在纯 *nix 环境中,最好的选择是 samba AD:https://wiki.samba.org/index.php/Setting_up_Samba_as_an_Active_Directory_Domain_Controller
另一个选择是(ab)使用与所需状态(CF Engine,Chef,Puppet)一起工作的配置管理工具并通过该工具定义用户并回退到基于密钥的用户身份验证。
答案2
FreeIPA 是构建 Kerberos +LDAP 环境的流行解决方案之一。
免费IPA https://www.freeipa.org/page/Main_Page
顾名思义,它是免费的、开源的,并由 RedHat 赞助。