Linux 다중 서버 사용자 액세스

루트 수준 액세스 로그인은 변경되지 않을 것으로 예상됩니다.

이것은 확실히 선택 사항이 아닙니다. 무슨 일이 일어났는지 추적하고 개인 사용자로 로그인하려는 사람이 실수를 하거나 장난을 치는 이유는 무엇입니까? 그렇지 않습니다. 추적해야 할 중요한 작업은 루트에서 수행됩니다. 익명의 루트를 갖는 것은 무책임합니다.

솔직히 루트 액세스를 비활성화하겠습니다.모든 사람. 직접 로그인할 수 있는 권한 있는 사용자가 없습니다(또는 루트 비밀번호가 매우 길고 사무실 드라이브에 있고 관리자만이 암호 해독 키를 알고 있습니다). 루트로 작업을 완료해야 하는 경우 sudo액세스를 중앙 집중화하고 기록하세요. 이것은 꽤 표준적인 정책입니다!

foo93으로 serverX에 로그인합니다. serverX는 foo93이 유효한 사용자인지 확인하기 위해 중앙 서버를 확인합니다. 중앙 서버는 "예" 또는 "아니오"로 응답합니다. 그렇다면, serverX에 표준 수준 액세스 권한을 부여합니다. 나

이는 표준 솔루션처럼 들립니다. PAM을 중앙 집중화합니다.신원 관리. 이러한 상황이 존재합니다. Windows 세계에서는 이를 "Active Directory"라고 합니다(실제로 Active Directory 도메인 컨트롤러에 대해 인증할 수 있음). Linux 환경의 경우 소규모 설정에서는 Linux 로그인 외에는 Single Sign-On이 필요하지 않습니다. 특히 플러그인을 통해 로그인에 SSSD를 사용하도록 클라이언트를 구성합니다 ldap. 이를 위해서는 중앙 서버의 인증이 필요합니다. 또한 누군가가 처음으로 컴퓨터에 로그온할 때 디렉터리를 만드는 등의 작업도 수행할 수 있습니다.

와 같은 것을 검색하면 distroname SSSD LDAP guide대략적인 아이디어는 다음과 같습니다.

0. 내부 도메인의 이름을 선택하세요. "airgappednet" 등.

1. 하나의 머신을 중앙 ID 서버로 지정합니다(일반적으로 이를 위해 가상 머신을 사용합니다. 단순히 스냅샷을 찍어 백업 머신으로 마이그레이션할 수 있기를 원하기 때문입니다. 그렇지 않으면 단일 실패 지점이 생성됩니다. 또한 , 가스 에어 갭이 있으므로 인터넷이 있을 때 VM을 설정한 다음 VM 이미지를 드라이브에 복사하고 에어 갭을 통해 전송한 다음 비밀을 설정하는 것이 더 쉽습니다)

   1. 오픈LDAP를 설치합니다.
   2. 인증 서버와의 암호화된 통신을 위해 해당 서버 VM(이를 위해 자체 서명된 SSL 인증서가 필요함)에 Slapd를 설정합니다(동일한 에어갭 네트워크 내에서도 비밀번호가 관련되어 있는 경우 절대 암호화하지 마십시오).
   3. 사용자를 LDAP 데이터베이스에 추가하면 도메인이 dc접두사의 일부가 됩니다.

2. LDAP를 사용하여 사용자를 인증하도록 클라이언트 구성

   1. sssd, sssd-ldap 및 ldap 클라이언트 설치
   2. auselect를 사용하여 SSD를 인증 공급자 소프트웨어로 선택
   3. LDAP 서버를 사용하도록 /etc/openldap/ldap.conf 구성
   4. LDAP 서버와 올바른 접두사를 사용하도록 /etc/sssd/sssd.conf를 구성합니다.