对于我们的管理员帐户(Linux中的root用户和Windows中的admnistrator),我们有一个密码方案,该方案取决于数据中心位置和服务器的其他几个记录的属性.
在Linux上,我们目前的做法是创建一个共享的非特权帐户,我们可以su到root.在基于Windows的系统上,我们创建了一个具有管理员权限的附加帐户.这两个帐户共享相同的密码.
事实证明这是非常低效的.当有人离开我们的商店时,我们必须:
>更改管理员帐户的密码方案
>为每个服务器生成新的管理员密码
>想出一个新的非管理员帐户密码
>触摸每台服务器并更改密码
我想知道在类似环境中的任何人是否可以建议更合理的方式来管理这些凭据.一些相关信息:
>虽然我们的大多数服务器都是AD域的一部分,但并非所有服务器都是.
>我们使用Puppet管理所有Linux服务器(密钥认证是我想到的一个选项,但它只能解决上面提到的#3问题).
>我们使用Cobbler配置Linux服务器.
>我们大约10%的硬件专用于VMWare.在这些情况下,我们使用VMWare模板进行服务器构建.
任何想法或建议将不胜感激.这个问题已经持续了一段时间,我终于想要解决它了.
解决方法
> Windows AD连接的服务器可以使用组策略首选项(GPP)或计算机启动脚本通过组策略设置其本地管理员密码.见http://social.technet.microsoft.com/Forums/en-US/winserverGP/thread/b1e94909-bb0b-4e10-83a0-cd7812dfe073/
>除非必要,否则限制在Windows服务器上创建本地帐户.尽可能使用AD帐户.
>使用LDAP for Linux计算机向AD管理员帐户进行身份验证.这有点简化了帐户管理.当管理员离开时只在一个地方禁用并且无法访问,那么您可以随意清理Linux端.
>在linux上使用/ etc / sudoers文件用于特定管理员帐户,然后管理员不需要root密码.这在您的实例中可能很好,因为它们很少需要root密码,因此可以将其锁定.更新
>将root和本地管理员密码保存在密码保护中,而不是一般知识.某些密码保险箱具有委派和日志记录,因此如果该用户从未访问过该密码,您甚至可能无需重置密码.
>自动执行root和admin帐户的密码重置过程. Linux和Windows都可以编写脚本来执行此操作,因此它可以节省您一些时间,而不会使它成为一个负担.
希望有所帮助.