通过LDAP访问100个LAMP框

前端之家收集整理的这篇文章主要介绍了通过LDAP访问100个LAMP框前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
这是每个SysAdmin的噩梦.基本上我们想控制谁有权访问哪些主机.听起来很简单,问题是找到可扩展且低维护(mgmt.开销)的解决方案.我们使用 bcfg2作为配置管理,就像Cfengine&木偶.

从某种角度:

> Netgroups具有很高的可扩展性,但具有巨大的mgmt开销.维护主机,主机组,用户网络组(与ldpa组分开)似乎是一个非常大的负担,但是可行.
> ldap.conf(7月1日由jmozdzen发布)和基于LDAp的访问控制.我们可以为每个主机模板化ldap.conf,并创建一个主机名和成员作为用户的组.但缺点是您无法指定ldap组(用户组)进行访问,但只能单独指定.
> sshd_config限制.但是,如果用户本地登录,则无效.
>主机属性检查.通过在ldap.conf中取消注释pam_check_host_attr并为每个用户添加主机名效果很好,但自动化并不容易.

任何人都有不同的方法解决这个问题,并且可以很好地扩展和自动化?

我使用类似于“选项2”的东西 – 一个LDAP(pam_ldap / nss_ldap)设置,其中每个服务器类在LDAP(db,web等)中都有一个组,并允许该组的成员登录到那类服务器.这与netgroups的开销大致相同,但它运行良好,因为我们的用户列表是相对静态的(您可以访问机器列表,并且访问几乎是永远的).

我们不允许LDAP用户使用控制台登录(只有紧急服务和root帐户可以在本地登录,并且这些密码都经过严格保护),因此在我们的案例中,仅需要将ldap特定的限制应用于sshd.

猜你在找的Bash相关文章