Я ищу чистый способ централизовать управление пользователями. Настройка:
Требования (надежды и ожидания):
Единое место для администратора для управления учетными записями пользователей, паролями и списком машин, к которым у каждого пользователя есть доступ. (И, вероятно, группы.) Не обязательно быть причудливым.
Единый вход для SSH: пользователь должен иметь возможность входить в систему с машины A на машину B, не вводя повторно свой пароль.
Быстрый поиск в Google дает мне указания на OpenLDAP и Kerberos, но я не уверен, с чего начать и какую проблему решит каждое решение. Куда идти? Я бы хотел найти Чисто учебник, посвященный этой теме. (Или: я задаю «неправильный вопрос»?)
Google повел вас по правильному пути. В идеале вам нужны и LDAP для центрального управления пользователями, и Kerberos для дополнительной безопасности и единого входа.
Только LDAP обеспечит вам централизованное управление пользователями, но пользователям все равно придется повторно проходить аутентификацию с каждой службой, к которой они подключаются. Именно здесь появляется Kerberos, который выдает клиенту билет, который предоставляет пользователю доступ к другим службам после их аутентификации.
Для Kerberos вам понадобится стабильный синхронизированный источник времени. Поэтому я бы начал с правильной настройки NTP, DHCP и DNS. Затем настройте клиентские рабочие станции на получение NTP от DHCP. Как только вы узнаете, что у вас есть стабильный источник времени, вы можете настроить серверы LDAP и Kerberos, чтобы обеспечить необходимые службы каталогов для их объединения.
Я нашел Spinlock отличные для этого направляющие; Я использовал их для настройки среды единого входа с пересылкой билетов по ssh для офиса разработки, состоящего примерно из 30 разработчиков. Для этого есть много разных компонентов, и управлять им довольно сложно - вам понадобится хороший клиент LDAP, такой как Apache Directory Studio для обслуживания пользователей.
Если где-то на вашем предприятии есть Active Directory, Likewise (Google for Likewise Open, serverfault не позволит мне публиковать более одной ссылки) теперь имеет версию своего решения SSO с открытым исходным кодом, на которую, возможно, стоит обратить внимание. Он также поддерживает пересылку билетов по ssh.