У нас есть 15 серверов Debian, и они растут.
Какой простой и легкий метод централизации управления пользователями? Примеры использования: добавление пользователя на все серверы, настройка доступа пользователей к определенному серверу (-ам), удаление пользователя со всех серверов.
LDAP - это вариант, но он кажется мне слишком полным для моих нужд. Я бы предпочел что-то с простотой useradd / groupadd, просто распределенное по нескольким машинам. Веб-интерфейс было бы неплохо, но не обязательно. Интерфейс Git мог бы быть действительно крутым.
Есть несколько вариантов, но это во многом зависит от ваших целей. LDAP намного легче, чем вы думаете. В конце концов, он называется «Легкий протокол доступа к каталогам». Большая часть его "объема" появляется, когда вы добавляете к нему дополнительные вещи. Конечно, вы можете использовать почти все что угодно для централизации аутентификации, когда дело касается ОС с поддержкой * nix с PAM. Даже файл с плоским текстом, если хотите. Kerberos - еще один вариант ... Радиус ... Samba / Active Directory ... список можно продолжить. Самый большой вопрос ... сколько вы хотите, чтобы он делал ... и чего вы хотите от этого?
Какой простой и легкий метод централизации управления пользователями?
Один из легких способов - просто предоставить учетные записи в вашей системе управления конфигурацией. Например, с Puppet довольно легко работать, и вы можете легко использовать его для создания учетных записей. Это, вероятно, не сработает, если у вас будет большое количество нетехнических пользователей.
Прямо сейчас у меня есть только 4 учетных записи, которые мне нужно настроить на ~ 50 серверах, настройка ldap / nis была бы большой проблемой, особенно потому, что некоторые из систем расположены в удаленных местах клиента.
Поскольку количество ваших серверов растет, вам почти наверняка стоит серьезно задуматься о системе управления конфигурацией, если у вас ее еще нет.
Взгляните на PAM-MySQL или libnss-mysql. Если вы хотите простить LDAP, взгляните на nss_ldap.
Основываясь на этом ...
варианты использования - добавление пользователя на все серверы
Вы можете попробовать распределенный SSH.
Это полезно, если вам нужно вносить изменения нечасто, но довольно легко настроить и использовать для других целей администратора.
Например, если у вас есть список хостов из 15 серверов, вы можете использовать dssh для добавления пользователя на все хосты или удаления пользователя на всех хостах.
Я успешно использовал это на 100 хостах одновременно.
Сейчас для этого есть много вариантов, поэтому, если вы выберете этот путь, поищите инструмент, который лучше всего удовлетворит ваши потребности.
Это просто еще один вариант. LDAP - это настоящее централизованное управление пользователями, поскольку все ваши ресурсы аутентификации находятся в одном месте. DSSH, однако, прост, если вас устраивает независимость каждого блока.