Отключить учетные записи пользователей от ОС?

Question

Отключить учетные записи пользователей от ОС?

Допустим, у меня есть сервер с Ubuntu и 10-15 учетными записями пользователей. Через некоторое время сервер падает по любой причине. Конечно, вы можете посмотреть резервную копию и сбросить ее до времени, предшествующего проблеме.

Сегодня утром я думал о следующем (это может быть классическим примером переизобретения колеса, но я не являюсь системным администратором в течение 10 лет;)). Допустим, вы можете отделить учетные записи пользователей от ОС. Таким образом, сервер получает данные учетной записи и программное обеспечение из другого места и загружает их локально, но, скажем, базовый образ вашего сервера умирает. Тогда нет проблем: вы просто раскручиваете другую ОС Ubuntu и снова загружаете учетные записи пользователей.

Вопрос: есть ли программное обеспечение для поддержки этого? или есть разные решения для решения этой проблемы?

2

server user-management accounts

Источник

user3892683 25 дек '15 в 09:46

2 ответа

Другие вопросы по тегам server user-management accounts

muru 25 дек '15 в 09:50 2015-12-25 09:50 · Answer 1 · 2015-12-25 09:50

В Linux это обычно выполняется с использованием LDAP. Обычно используется сервер OpenLDAP с различными демонами на стороне клиента, такими как nslcd, SSSD и т. Д. В руководстве по Ubuntu Server есть раздел, посвященный OpenLDAP.

При использовании LDAP также обычно обслуживают домашние каталоги с общего сервера через NFS и т. Д. NFS также рассматривается в Руководстве по серверу.

Конечно, если проблема в сбое, то вы просто толкаете проблему на один уровень вниз. Разница в том, что когда ваш сервер LDAP выходит из строя, все ваши серверы фактически не работают.

Anders 27 дек '15 в 12:53 2015-12-27 12:53 · Answer 2 · 2015-12-27 12:53

LDAP является очевидным и распространенным решением, но вы должны также изучить Kerberos. С LDAP вы в основном получаете только содержимое /etc/passwd, /etc/groups, /etc/hostsи т. д., что является хорошим шагом к решению проблемы. С Kerberos вы также получите распределенную аутентификацию, с некоторой реальной безопасностью, а также аутентификацию серверов. Поэтому, если вы входите в систему на одном компьютере, вам не нужно входить на других компьютерах, и вы знаете, что вы вошли на правильном компьютере.

MS AD в основном представляет собой комбинацию LDAP, Kerberos и скриптов и каталогов, распространяемых CIF (SMB) с некоторым графическим интерфейсом сверху. В Unix/Linux мы использовали это целую вечность до нашей эры.

Так что, если вы хотите правильно установить сервер, LDAP и Kerberos - это то, что вам нужно. Посмотрите на новую SAMBA 4 для получения дополнительной информации.