Назад | Перейти на главную страницу

Решение единого входа и централизованное управление пользователями для 10-30 машин Ubuntu?

Я ищу чистый способ централизовать управление пользователями. Настройка:

Требования (надежды и ожидания):

Быстрый поиск в Google дает мне указания на OpenLDAP и Kerberos, но я не уверен, с чего начать и какую проблему решит каждое решение. Куда идти? Я бы хотел найти Чисто учебник, посвященный этой теме. (Или: я задаю «неправильный вопрос»?)

Google повел вас по правильному пути. В идеале вам нужны и LDAP для центрального управления пользователями, и Kerberos для дополнительной безопасности и единого входа.

Только LDAP обеспечит вам централизованное управление пользователями, но пользователям все равно придется повторно проходить аутентификацию с каждой службой, к которой они подключаются. Именно здесь появляется Kerberos, который выдает клиенту билет, который предоставляет пользователю доступ к другим службам после их аутентификации.

Для Kerberos вам понадобится стабильный синхронизированный источник времени. Поэтому я бы начал с правильной настройки NTP, DHCP и DNS. Затем настройте клиентские рабочие станции на получение NTP от DHCP. Как только вы узнаете, что у вас есть стабильный источник времени, вы можете настроить серверы LDAP и Kerberos, чтобы обеспечить необходимые службы каталогов для их объединения.

Я нашел Spinlock отличные для этого направляющие; Я использовал их для настройки среды единого входа с пересылкой билетов по ssh для офиса разработки, состоящего примерно из 30 разработчиков. Для этого есть много разных компонентов, и управлять им довольно сложно - вам понадобится хороший клиент LDAP, такой как Apache Directory Studio для обслуживания пользователей.

Если где-то на вашем предприятии есть Active Directory, Likewise (Google for Likewise Open, serverfault не позволит мне публиковать более одной ссылки) теперь имеет версию своего решения SSO с открытым исходным кодом, на которую, возможно, стоит обратить внимание. Он также поддерживает пересылку билетов по ssh.