Centrální user provisioning na Linux

peter

Centrální user provisioning na Linux
« kdy: 12. 03. 2012, 16:19:36 »
ahojte,
mam taky problem. ;) mam cca 100 serverov a potreboval by som nejaky central user provisioning na userov. problem je v tom ze to nemoze byt network auth cize LDAP a pod su mimo. aby som vedel centralne zadat userove pre skupinu serverov, vyrobilo im home adresare. zatial som nic civilizovane nenasiel. hram sa s puppetom, ale ent verzia je pekne draha.

nejake hinty aspon by mi pomohli.
dakujem
« Poslední změna: 12. 03. 2012, 22:08:01 od Petr Krčmář »


aaaaaaaa

Re:user provisioning na linux
« Odpověď #1 kdy: 12. 03. 2012, 16:52:32 »
Preco to nemoze byt network auth?

m

Re:user provisioning na linux
« Odpověď #2 kdy: 12. 03. 2012, 17:12:20 »
co třeba ssh PasswordAuthentication off + pro každého balíček s ssh klíčem postinstall skriptem, který vyrobí uživatele a domovský adresář? ale to asi nebude dostatečně "central" a "enterprise" ..

peter

Re:Centrální user provisioning na Linux
« Odpověď #3 kdy: 13. 03. 2012, 11:23:57 »
network auth nemoze byt pretoze siet je moc segmentovana a poziadavka je aby pri vypadku siet pripojenia/segmentu kde je ldap, sa uzivatel vedel nalogovat.
skor ide o aj dalsie moznosti spravovania userov, urcit grupy kam patri, pridavat, odoberat a podobne. menit expiry a podobne. sprava user konta ako takeho, zo vsetkymi atributmi.

diki
 

none

Re:Centrální user provisioning na Linux
« Odpověď #4 kdy: 13. 03. 2012, 11:46:55 »
To neni problem, staci cachovat -> koukni na sssd.

Bye.


Trident

Re:Centrální user provisioning na Linux
« Odpověď #5 kdy: 13. 03. 2012, 12:58:09 »
To neni o LDAPu ale o celkovem designu.
Navrhuji slave LDAP server na kazdem segmentu jako slave s replikaci z masteru. Klienta nastaveneho v tomto poradi mistni slave,se slave z blizkeho segmentu a jako treti master.
Pripadne jeste nekde dalsi master jako backup zive rw databaze a mezi dvema LDAPy multimaster replikaci.
Caching na klientech je samozrejmosti.

Jedna se o jednoduche reseni. Mission critical aplikace maji infrastrukturu LDAPu ktera se podoba spise meshi.

Michal

Re:Centrální user provisioning na Linux
« Odpověď #6 kdy: 13. 03. 2012, 14:12:18 »
network auth nemoze byt pretoze siet je moc segmentovana a poziadavka je aby pri vypadku siet pripojenia/segmentu kde je ldap, sa uzivatel vedel nalogovat.
skor ide o aj dalsie moznosti spravovania userov, urcit grupy kam patri, pridavat, odoberat a podobne. menit expiry a podobne. sprava user konta ako takeho, zo vsetkymi atributmi.

diki

Nejakej identity management ?

Mordae

Re:Centrální user provisioning na Linux
« Odpověď #7 kdy: 13. 03. 2012, 16:11:06 »
Komunitní puppet bohatě stačí. Jinak LDAP s SSSD zní také velmi dobře.

citanus

Re:Centrální user provisioning na Linux
« Odpověď #8 kdy: 13. 03. 2012, 18:32:36 »
jeste upozornim na projekt ipa od redhatu.

dik

Re:Centrální user provisioning na Linux
« Odpověď #9 kdy: 13. 03. 2012, 18:54:58 »
Pánové,
máte někdo reálné zkušenosti s freeipa ? 
Díky Dík