通过LDAP访问100个LAMP框

发布时间：2020-12-15 18:35:30 所属栏目：安全来源：网络整理

导读：这是每个SysAdmin的噩梦.基本上我们想控制谁有权访问哪些主机.听起来很简单,问题是找到可扩展且低维护(mgmt.开销)的解决方案.我们使用 bcfg2作为配置管理,就像Cfengine木偶. 从某种角度： Netgroups具有很高的可扩展性,但具有巨大的mgmt开销.维护主机,主机组

这是每个SysAdmin的噩梦.基本上我们想控制谁有权访问哪些主机.听起来很简单,问题是找到可扩展且低维护(mgmt.开销)的解决方案.我们使用 bcfg2作为配置管理,就像Cfengine&木偶.

从某种角度：

> Netgroups具有很高的可扩展性,但具有巨大的mgmt开销.维护主机,主机组,用户网络组(与ldpa组分开)似乎是一个非常大的负担,但是可行.
> ldap.conf(7月1日由jmozdzen发布)和基于LDAp的访问控制.我们可以为每个主机模板化ldap.conf,并创建一个主机名和成员作为用户的组.但缺点是您无法指定ldap组(用户组)进行访问,但只能单独指定.
> sshd_config限制.但是,如果用户本地登录,则无效.
>主机属性检查.通过在ldap.conf中取消注释pam_check_host_attr并为每个用户添加主机名效果很好,但自动化并不容易.

任何人都有不同的方法解决这个问题,并且可以很好地扩展和自动化？

我使用类似于“选项2”的东西 – 一个LDAP(pam_ldap / nss_ldap)设置,其中每个服务器类在LDAP(db,web等)中都有一个组,并允许该组的成员登录到那类服务器.这与netgroups的开销大致相同,但它运行良好,因为我们的用户列表是相对静态的(您可以访问机器列表,并且访问几乎是永远的).

我们不允许LDAP用户使用控制台登录(只有紧急服务和root帐户可以在本地登录,并且这些密码都经过严格保护),因此在我们的案例中,仅需要将ldap特定的限制应用于sshd.

（编辑：李大同）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!