这是每个SysAdmin的噩梦.基本上我们想控制谁有权访问哪些主机.听起来很简单,问题是找到可扩展且低维护(mgmt.开销)的解决方案.我们使用
bcfg2作为配置管理,就像Cfengine&木偶.
从某种角度:
> Netgroups具有很高的可扩展性,但具有巨大的mgmt开销.维护主机,主机组,用户网络组(与ldpa组分开)似乎是一个非常大的负担,但是可行.
> ldap.conf(7月1日由jmozdzen发布)和基于LDAp的访问控制.我们可以为每个主机模板化ldap.conf,并创建一个主机名和成员作为用户的组.但缺点是您无法指定ldap组(用户组)进行访问,但只能单独指定.
> sshd_config限制.但是,如果用户本地登录,则无效.
>主机属性检查.通过在ldap.conf中取消注释pam_check_host_attr并为每个用户添加主机名效果很好,但自动化并不容易.