通过LDAP访问100个LAMP框
发布时间:2020-12-15 18:35:30 所属栏目:安全 来源:网络整理
导读:这是每个SysAdmin的噩梦.基本上我们想控制谁有权访问哪些主机.听起来很简单,问题是找到可扩展且低维护(mgmt.开销)的解决方案.我们使用 bcfg2作为配置管理,就像Cfengine木偶. 从某种角度: Netgroups具有很高的可扩展性,但具有巨大的mgmt开销.维护主机,主机组
这是每个SysAdmin的噩梦.基本上我们想控制谁有权访问哪些主机.听起来很简单,问题是找到可扩展且低维护(mgmt.开销)的解决方案.我们使用
bcfg2作为配置管理,就像Cfengine&木偶.
从某种角度: > Netgroups具有很高的可扩展性,但具有巨大的mgmt开销.维护主机,主机组,用户网络组(与ldpa组分开)似乎是一个非常大的负担,但是可行. 任何人都有不同的方法解决这个问题,并且可以很好地扩展和自动化?
我使用类似于“选项2”的东西 – 一个LDAP(pam_ldap / nss_ldap)设置,其中每个服务器类在LDAP(db,web等)中都有一个组,并允许该组的成员登录到那类服务器.这与netgroups的开销大致相同,但它运行良好,因为我们的用户列表是相对静态的(您可以访问机器列表,并且访问几乎是永远的).
我们不允许LDAP用户使用控制台登录(只有紧急服务和root帐户可以在本地登录,并且这些密码都经过严格保护),因此在我们的案例中,仅需要将ldap特定的限制应用于sshd. (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |