Назад | Перейти на главную страницу

Централизованное управление входами на большое количество Linux-машин

У нас есть постоянно растущая коллекция серверов, как физических, так и виртуальных, на которые нам нужно войти. Вход обычно осуществляется через SSH с использованием пары ключей RSA, а не пароля (который отключен в настройках SSH). Прямо сейчас мы устанавливаем наши пароли и загружаем ключи на каждую машину, когда приходит время, но это чревато авариями. Мы могли очень легко пропустить настройку и закончить тем, что кто-то из команды не сможет войти в систему или оставить доступ к паролю включенным, не осознавая этого.

Поэтому мы хотели бы управлять этими учетными данными централизованно. Он должен устанавливать пароли, загружать открытые ключи, обеспечивать правильные настройки SSH и упростить добавление нового пользователя или удаление ушедшего пользователя.

Я полагаю, что сценарий для копирования нужных файлов в нужные места подойдет, но кажется беспорядочным, когда они разбросаны по системе. Как вы посоветуете нам управлять такими учетными данными? На каждой машине должно быть минимально возможное количество работы.

Вы можете посмотреть на такие варианты, как kerberos. Таким образом, вы даже не возитесь с ключами, и вы можете централизованно отозвать их в любое время. Кроме того, если вы используете LDAP для авторизации, вы можете просто добавить сетевые группы, и управлять пользователями станет еще проще.

похоже, что вам нужно централизованное управление конфигурацией. puppet, bcfg2, sprinkle, chef или cfengine, скорее всего, смогут сделать это за вас.

edit: cwebber прав, ldap в первую очередь избежит этой проблемы, но вам все равно понадобится что-то вроде марионетки, чтобы убедиться, что в остальном конфиги верны.