这是每个系统管理员要做的噩梦。基本上我们想控制谁可以访问哪些主机。听起来很简单,问题是找到一个可扩展且低维护(管理开销)的解决方案。我们使用bcfg2进行配置管理,就像 Cfengine & puppet 一样。
从某种角度:
Netgroups具有很强的可扩展性,但伴随着巨大的管理开销。维护主机、主机组、用户网络组(与 ldpa 组分开)似乎是一个很大的负担,但是是可行的。
ldap.conf(转至 jmozdzen 于 7 月 1 日发表的帖子)和基于 LDAP 的访问控制。我们可以为每个主机设置 ldap.conf 模板,并创建一个以主机名和成员为用户的组。但缺点是您不能指定 ldap 组(用户团队)进行访问,而只能单独指定。
sshd_config 限制。但如果用户本地登录,这将不起作用。
主机属性检查。通过在 ldap.conf 中取消注释 pam_check_host_attr 并将主机名添加到每个用户可以很好地工作,但自动化并不容易。
有没有人对这个问题有不同的方法,并且可以很好地扩展和自动化?
我正在准备为一家大公司(前 10 名公司)担任系统管理员(linux)角色,其中一个必备条件是了解 perl、python 或 Ruby 等语言。我有一个电话面试,其中涉及与面试官分享编辑,现在我可以在电话面试或常规面试中期待什么样的编码练习?
我在大多数日常任务中使用了 shell,偶尔使用 Perl 和 python 来处理更大的任务。现在我不希望他们问
编写将 AD 用户同步到 LDAP 的脚本。
我认为数据结构、算法或排序问题不适合我的角色?你能给我一些与 SysAdmin 相关的编码问题的例子吗?