Я унаследовал кластер Jenkins из шести компьютеров Mac, каждый из которых находится в серверной комнате и доступен только во внутренней сети, но имеет общего пользователя-администратора и пароль VNC для Mac OS X (для пояснения: элементы управления доступом к программному обеспечению Jenkins являются разобрал, я не об этом спрашиваю).
Я не DevOps и не сетевой администратор; Я работаю с некоторыми ограничениями политики компании, и я выполняю роль только «временно» (читай: неполный рабочий день, может быть, до года). Но я хотел бы очистить это за то ограниченное время, которое у меня есть. Поскольку мое время и опыт в этой области ограничены, я по мере необходимости делегирую некоторые административные задачи трем другим людям. Мне нужно решение, которое останется между этими людьми и не будет делиться одним паролем между ними всеми, потому что пользователи, использующие учетную запись / логин, противоречат политике моей компании (несмотря на то, что это происходит сейчас).
Было бы здорово иметь сетевые учетные записи пользователей, но, учитывая, что это не настроено, я думаю о создании локальных учетных записей для каждого администратора с доступом VNC (через стандартное совместное использование экрана Mac OS X). Однако меня беспокоит, что 4 сеанса графического интерфейса будут запущены на машине, которая должна работать за нас. Будет ли это вызывать проблемы, тайм-ауты сеанса и т.п.?
Какие у меня есть варианты и какой будет общий подход, когда вам нужно, чтобы 6 администраторов имели доступ к VNC, но индивидуальные пароли / учетные записи?
Open Directory (реализация LDAP от Apple), вероятно, то, что вы ищете.
Если вы не хотите беспокоиться о настройке этого, да, локальные учетные записи для каждого администратора на каждом сервере будут работать ... но это будет 24 учетных записи, которые нужно настроить, поэтому похоже, что настройка LDAP будет быстрее и проще .
Если вы состоите в браке с VNC, многие реализации допускают аутентификацию на основе LDAP, хотя лично я считаю, что если вам нужен графический интерфейс для администрирования сервера, вам не нужно администрировать сервер, поэтому вот SSH.
Что касается загрузки ЦП с VNC, она не должна быть достаточно высокой, чтобы иметь существенное значение (обычно не более нескольких%), хотя я все же предпочел бы предлагать только доступ по SSH, если у меня нет действительно веской причины, почему админам нужен графический интерфейс. В случае, если требуется графический интерфейс, вероятно, стоит также изучить RDP как вариант.