Fórum Root.cz

Hlavní témata => Server => Téma založeno: peter 12. 03. 2012, 16:19:36

Název: Centrální user provisioning na Linux
Přispěvatel: peter 12. 03. 2012, 16:19:36

ahojte,
mam taky problem. ;) mam cca 100 serverov a potreboval by som nejaky central user provisioning na userov. problem je v tom ze to nemoze byt network auth cize LDAP a pod su mimo. aby som vedel centralne zadat userove pre skupinu serverov, vyrobilo im home adresare. zatial som nic civilizovane nenasiel. hram sa s puppetom, ale ent verzia je pekne draha.

nejake hinty aspon by mi pomohli.
dakujem

Název: Re:user provisioning na linux
Přispěvatel: aaaaaaaa 12. 03. 2012, 16:52:32

Preco to nemoze byt network auth?

Název: Re:user provisioning na linux
Přispěvatel: m 12. 03. 2012, 17:12:20

co třeba ssh PasswordAuthentication off + pro každého balíček s ssh klíčem postinstall skriptem, který vyrobí uživatele a domovský adresář? ale to asi nebude dostatečně "central" a "enterprise" ..

Název: Re:Centrální user provisioning na Linux
Přispěvatel: peter 13. 03. 2012, 11:23:57

network auth nemoze byt pretoze siet je moc segmentovana a poziadavka je aby pri vypadku siet pripojenia/segmentu kde je ldap, sa uzivatel vedel nalogovat.
skor ide o aj dalsie moznosti spravovania userov, urcit grupy kam patri, pridavat, odoberat a podobne. menit expiry a podobne. sprava user konta ako takeho, zo vsetkymi atributmi.

diki
 

Název: Re:Centrální user provisioning na Linux
Přispěvatel: none 13. 03. 2012, 11:46:55

To neni problem, staci cachovat -> koukni na sssd.

Bye.

Název: Re:Centrální user provisioning na Linux
Přispěvatel: Trident 13. 03. 2012, 12:58:09

To neni o LDAPu ale o celkovem designu.
Navrhuji slave LDAP server na kazdem segmentu jako slave s replikaci z masteru. Klienta nastaveneho v tomto poradi mistni slave,se slave z blizkeho segmentu a jako treti master.
Pripadne jeste nekde dalsi master jako backup zive rw databaze a mezi dvema LDAPy multimaster replikaci.
Caching na klientech je samozrejmosti.

Jedna se o jednoduche reseni. Mission critical aplikace maji infrastrukturu LDAPu ktera se podoba spise meshi.

Název: Re:Centrální user provisioning na Linux
Přispěvatel: Michal 13. 03. 2012, 14:12:18

Citace: peter  13. 03. 2012, 11:23:57

network auth nemoze byt pretoze siet je moc segmentovana a poziadavka je aby pri vypadku siet pripojenia/segmentu kde je ldap, sa uzivatel vedel nalogovat.
skor ide o aj dalsie moznosti spravovania userov, urcit grupy kam patri, pridavat, odoberat a podobne. menit expiry a podobne. sprava user konta ako takeho, zo vsetkymi atributmi.

diki

Nejakej identity management ?

Název: Re:Centrální user provisioning na Linux
Přispěvatel: Mordae 13. 03. 2012, 16:11:06

Komunitní puppet bohatě stačí. Jinak LDAP s SSSD zní také velmi dobře.

Název: Re:Centrální user provisioning na Linux
Přispěvatel: citanus 13. 03. 2012, 18:32:36

jeste upozornim na projekt ipa od redhatu.

Název: Re:Centrální user provisioning na Linux
Přispěvatel: dik 13. 03. 2012, 18:54:58

Pánové,
máte někdo reálné zkušenosti s freeipa ? 
Díky Dík