Можно ли централизованно управлять разрешениями в сети Linux?
Если у меня есть сервер LDAP, на котором пользователи могут проходить аутентификацию, могу ли я управлять разрешениями оттуда?
Я говорю о разрешениях для серверов (например, Samba), но также и внутри их собственных машин.
Как еще можно с ними справиться?
Да, вы можете использовать LDAP. Если вы разрешаете пользователям использовать пароли, вы можете хранить пароли в LDAP и использовать nss ldap и pam ldap для идентификации и аутентификации пользователей из вашего каталога соответственно.
Вам нужно будет добавить к своим пользователям несколько настраиваемых атрибутов в LDAP, чтобы дать им идентификаторы пользователей и пароли unix.
Если вам нужны ключи ssh, вам необходимо установить патч для sshd, который берет свои ключи из LDAP, обычно это не вариант. Это то, что мы используем, работает очень хорошо (несколько десятков авторизованных инженеров, 650+ серверов).
Я не пользовался но что-то вроде Кукольный должен установить разрешения.
я использовал первый для отправки и запуска сценариев сценариев на нескольких хостах, которыми я управляю. Было бы достаточно просто добавить команды, необходимые для установки разрешений на запускаемый вами скрипт.
Как уже упоминалось, LDAP - довольно простой способ сделать это. Документы по Linux можно найти Вот. При настройке конфигураций pam вы можете указать, что пользователи должны быть членами определенной группы для входа в систему, что позволяет использовать инструменты LDAP для добавления / удаления пользователей из групп, чтобы разрешить / запретить им доступ к определенным серверам.
Если вы просто используете SAMBA и имеете домен Active Directory, к которому вы можете присоединять машины, Samba может присоединяться к доменам. Это и Winbind позволят вам управлять тем, к каким общим ресурсам пользователи могут иметь доступ.
Что касается управления рабочими станциями конечных пользователей с помощью политик, я не уверен. У Novell есть кое-что для этого, если вы готовы тратить деньги (в рамках их линии Zen).