শত শত লিনাক্স সার্ভার জুড়ে প্রশাসকরা কীভাবে ব্যবহারকারীর অ্যাকাউন্টগুলি বজায় রাখবেন?

শতাধিক আরএইচইএল সার্ভারের সাথে লেনদেন করা, আমরা কীভাবে স্থানীয় রুট অ্যাকাউন্ট এবং নেটওয়ার্ক ব্যবহারকারী অ্যাকাউন্টগুলি বজায় রাখতে পারি? একটি সক্রিয় ডিরেক্টরি টাইপ সমাধান কি কেন্দ্রীয় অবস্থান থেকে এগুলি পরিচালনা করে?

সক্রিয় ডিরেক্টরি এক কেন্দ্রীয় উপাদান দ্বারা LDAP, যা আকারে লিনাক্স পাওয়া যায় OpenLDAP এবং 389DS (এবং কিছু অন্যদের)। এছাড়াও, অন্যান্য বড় উপাদান কার্বেরোস এমআইটি কার্বেরোস এবং হিমডাল আকারে উপলব্ধ । অবশেষে, আপনি এমনকি আপনার যন্ত্রগুলিকে AD এর সাথে সংযুক্ত করতে পারেন।

আপনি ব্যবহারকারীকে পরিচালনার জন্য পুতুলের সাহায্যে চেষ্টা করতে পারেন:

ব্যবহারকারীর অ্যাকাউন্ট পরিচালনা করতে পুতুল ব্যবহার করবেন কেন? (এবং এনআইএস, এলডিএপি ইত্যাদি নয়)

পুতুলের ব্যবহারকারীর অ্যাকাউন্ট পরিচালনা করার অন্যতম সুবিধা হ'ল এটি বিকেন্দ্রীভূত। প্রতিটি ব্যবহারকারীর অ্যাকাউন্ট পরিচালিত সার্ভারে কেবলমাত্র একটি সাধারণ ব্যবহারকারী অ্যাকাউন্ট। ব্যবহারকারী অ্যাকাউন্টগুলির পুতুল যে পুতুলের দ্বারা তৈরি করা হয়েছে তা মানব প্রশাসকের দ্বারা নয়, পুতুলের দ্বারা তৈরি করা হয়েছে তার বাইরে অন্য কিছু নেই। এ সম্পর্কে দুর্দান্ত বিষয়টি হ'ল মূল হোস্টটি যদি মারা যায় তবে আমরা প্রমাণীকরণটি হারাব না। যার অর্থ হল যে আমাদের পুতুলমাস্টার সার্ভারের (বা এনআইএস / এলডিএপি সার্ভার) কোনও বিশেষ আপটাইম প্রয়োজন নেই। যদি কোনও জরুরি অবস্থা ঘটে থাকে তবে আমরা আমাদের প্রডাকশন সার্ভারগুলি আপ করার দিকে মনোনিবেশ করতে পারি, এবং পুতুলমাস্টারকে "প্রয়োজনীয় হিসাবে" ভিত্তিতে উঠিয়ে ফোকাস করতে পারি। এর নেতিবাচক দিকটি হ'ল পুতুলটি প্রয়োজনীয়ভাবে "সাধারণ" লগইন ব্যবহারকারী অ্যাকাউন্টগুলি (সিস্টেম অ্যাকাউন্টগুলির বিপরীতে) পরিচালনা করার জন্য তৈরি করা হয় না। সবচেয়ে বড় উপায়টি সামনে আসে তা হ'ল, যদিও আপনি পুতুলের মধ্যে পাসওয়ার্ড সেট করতে পারেন, পুতুল ক্রমাগত সিস্টেম সেটিংস (ভাল) পর্যবেক্ষণ করে এবং যদি এটি লক্ষ্য করে যে পাসওয়ার্ডটি পরিবর্তিত হয়েছে, তবে এটি পুনরায় সেট করবে। (খারাপ) আমি আমাদের নেটওয়ার্কে ব্যবহারকারীর পাসওয়ার্ডগুলি নিরীক্ষণ করতে চাই না, সুতরাং পাসওয়ার্ড সেট করার একটি উপায় থাকা দরকার এবং পুতুলকে এই পাসওয়ার্ডটি পর্যবেক্ষণ বন্ধ করতে হবে। ভাগ্যক্রমে, একবার কৌশলটি বের করে ফেললে, এটি আসলেই বেশ সহজ। তবে প্রথমে কিছু সংজ্ঞা দেওয়া যাক।

http://docs.puppetlabs.com/pe/2.5/console_auth.html

সেনডাব্লু যেমন উল্লেখ করেছে, সেখানে 389 ডিএস এবং কার্বেরোস রয়েছে। আরএইচইএল .2.২ থেকে রেড হ্যাট আইপিএ বিতরণে অন্তর্ভুক্ত করেছে (এবং এটি সেন্টোজেও রয়েছে)। এটি একটি সম্পূর্ণ পরিচয় ম্যানেজমেন্ট স্যুট যা প্রমাণীকরণ এবং অনুমোদনের উপর নীতি ভিত্তিক নিয়ন্ত্রণ এবং allyচ্ছিকভাবে ডিএনএস সহ 389 ডিএস এবং কার্বেরোসকে অন্তর্ভুক্ত করে। এমনকি এটি অ্যাক্টিভ ডিরেক্টরি সহ একমুখী বা দ্বিমুখী সিঙ্কের জন্যও কনফিগার করা যেতে পারে।

আইপিএ বেশিরভাগই আরএইচইল হোস্টগুলিতে এসএসএসডি প্রয়োজন তবে এটি এটি ছাড়া কাজ করে। এমনকি সোলারিস 10 কে আইপিএর সাথে সংযুক্ত করার পরীক্ষা করেছি (কাজ করে তবে কিছুটা স্পষ্টভাবে)। আইপিএ আরএইচইএল হোস্টগুলির জন্য সেটআপ করার জন্য বেশ সোজা is

এটি ফ্রিআইপিএ প্রকল্পের উপর ভিত্তি করে ।

আপনার নেটওয়ার্ক ব্যবহারকারীর অ্যাকাউন্টগুলির জন্য ওপেনএলডিএপি যেমন এসভিডাব্লু উল্লেখ করেছে।

আপনার স্থানীয় অ্যাকাউন্টগুলি এবং আপনার সার্ভারে থাকা সমস্ত কিছু পরিচালনার জন্য আপনার "কনফিগারেশন ম্যানেজমেন্ট সিস্টেমগুলি" দেখতে হবে। CFEngine, Bcfg2, পুতুল এবং শেফের দিকে একবার নজর দিন। আপনি যদি এডাব্লুএস ব্যবহার করে থাকেন তবে ওপস ওয়ার্কসের সাথে তাদের একটি শেফ জিনিস রয়েছে।

আপনার যদি সত্যই 100+ সার্ভার পরিচালনা করতে হয় তবে আপনার 10 টি সিসাদমিন রয়েছে বা আপনি কনফিগারেশন ম্যানেজমেন্ট সফ্টওয়্যার ব্যবহার করেন।

এটি একটি সুস্পষ্ট উত্তর হতে পারে, তবে 'সক্রিয় ডিরেক্টরি ব্যবহার করুন'। ইউনিক্স নির্দিষ্ট ক্ষেত্রগুলি অন্তর্ভুক্ত করার জন্য আপনার আমাদের এডি স্কিমাটি কিছুটা পরিবর্তন করতে হবে, তবে একবার আপনি একবার করার পরে আপনার ক্রস প্ল্যাটফর্মের সাথে কাজ করা আপনার সমস্ত ব্যবহারকারী অ্যাকাউন্টের একটি ডিরেক্টরি রয়েছে।

আপনি যদি কেবল ইউনিক্সের দোকান করেন তবে সম্ভবত কম দরকারী - তবে আমি আসলে এর মধ্যে অনেকগুলিই দেখিনি। তবে AD হ'ল এলডিএপি এবং কার্বেরোসের মূল উপাদানগুলির মোটামুটি ভাল জাল। আমি যে বিট বিড়ম্বনা আসলে।

তবে আপনি যা 'নিখরচায়' পেয়ে যাবেন তা হ'ল ক্রস প্ল্যাটফর্ম অ্যাকাউন্ট এবং কার্বেরোস ইন্টিগ্রেশন যাতে আপনি সিআইএফএস স্বীকৃত 'এসিএল, এবং krb5i / p এনএফএস মাউন্টগুলি প্রয়োগ করে শক্তিশালী (এর) ব্যবহারকারী প্রমাণীকরণের সাথে NFSv4 রফতানি করতে পারেন।