管理对多个 linux 系统的访问

Question

搜索了答案，但在这里什么也没找到...

长话短说：一家非营利组织急需对其基础设施进行现代化改造。首先是找到一种替代方法来管理多个 Linux 主机上的用户帐户。

我们有 12 台服务器（物理和虚拟）和大约 50 个工作站。我们有 500 名这些系统的潜在用户。多年来构建和维护系统的个人已经退休。他编写了自己的脚本来管理这一切。它仍然有效。那里没有抱怨。但是，很多东西是非常手动且容易出错的。代码很乱，更新后经常需要调整。最糟糕的是几乎没有编写文档。只有一些自述文件和随机笔记可能不再相关，也可能不再相关。因此，维护成为一项艰巨的任务。

目前，每个系统上的帐户都通过 /etc/passwd 进行管理。随着帐户添加到“主”服务器上，更新通过 cron 脚本分发以更正系统。一些用户必须有权访问所有系统（如系统管理员帐户），其他用户需要访问共享服务器，而其他用户可能需要访问工作站或仅访问其中的一部分。

是否有工具可以帮助我们管理满足以下要求的帐户？

• 最好是开源的（即免费，因为预算非常有限）
• 主流（即维护）
• 最好有 LDAP 集成，或者可以与 LDAP 或 AD 服务接口以进行用户身份验证（在不久的将来将需要将帐户与其他办公室集成）
• 用户管理（添加、过期、删除、锁定等）
• 允许管理每个用户有权访问的系统（或系统组） - 并非所有系统都允许所有用户
• 支持根据用户登录的系统可能有不同的 homedirs 和 mounts 的用户帐户。例如
  • 登录到“主”服务器的 sysadmin 将main://home/sysadmin/作为 homedir 并具有所有共享安装
  • 登录到员工工作站的 sysadmin 将nas://user/s/sysadmin作为 homedir（与上面不同）和可能有限的挂载集，
  • 登录的客户端会将他/她的 homedir 放在不同的位置，并且没有共享安装。
• 如果有一个简单的管理界面，那就太棒了。
• 如果这个工具是跨平台的（Linux / MacOS / *nix），那将是一个奇迹！

我在网上搜索过，所以没有找到合适的。我们乐于接受任何建议。谢谢你。

编辑：这个问题被错误地标记为重复。链接到答案仅讨论在所有系统上具有相同的主目录，而我们需要根据当前登录的系统用户（多个主目录）拥有不同的主目录。此外，访问只需要授予某些机器而不是全部机器。Mods，请理解问题的全部范围，而不是仅仅将其标记为重复点...

Answer 1

FreeIPA可能正是您要找的。Active Directory 之于 Windows 之于 Linux。（如果您有异构环境，它也可以与 AD 通信，但不应用于直接管理 Windows 机器。为此使用 AD。）

Red Hat 的文档（他们称之为身份管理）非常详尽且易于遵循，即使您不使用 Red Hat 派生的系统，也应该最适用。

Answer 2

我会建议一位优秀的当地顾问来评估您的具体情况...

真的。

可能还有其他业务需求或细微差别，本论坛上的人可能无法识别或投入-足以考虑。专门的资源是您最好的选择……否则，我们只是向您推荐产品，因为这些内容很容易超出简单问答的范围。

尽管如此，我的方法是利用 Microsoft Active Directory 并将 Linux 系统与使用SSSD或 LDAP 联系起来。FreeIPA在全 Linux 的房子里很好，但即使你说“非营利”，也不一定排除 Windows。您将在路径的某个地方遇到 Active Directory 。您可能希望使用自动挂载的主目录来增加这一点，但不清楚何时或何地挂载谁的细节。

即使在我现在构建的 99% Linux 私有云环境中，我仍然依赖 Active Directory 来简化管理和集中身份验证。组和访问权限很容易，密码策略和帐户老化很简单。Microsoft 解决方案涵盖了有关可维护性、思想共享和兼容性的任何问题。复制是内置的，有据可查，并且该技术具有一些固有的面向未来的功能。

但是，您的原始问题中缺少一些细节...

• 环境中存在哪些特定的 Linux 发行版？版本是否一致？
• 您的 Macintosh 系统是否需要相同级别的管理粒度（大多数组织不尝试完全管理 Apple 计算机）？
• 有远程用户吗？
• 你提到了“*nix” - 存在什么类型的 *nix？