Ubuntu központi user kezelés mivel?

Linux-haladó

Sziasztok,

Központi user kezelést szeretnék bevezetni, mivel meguntam hogy 15 gépen 15 féle jelszóval bohóckodok.

A környezett:
~15 Ubuntu virtuális gép (12.04,14.04,16.04,18.04 vegyesen)

Ti mit használtok erre? LDAP, puppet?

Előre is köszönöm,
N.

  • 1181 megtekintés

( chx | 2018. 10. 17., sze – 16:29 )

cron-ba scp/rsync/whatever passwd, shadow, esetleg sudoers, megfejelve egy kis scriptinggel hogy pl. sshd vagy nfsnobody (UID 1000 alatt) ne legyen felul irva. Bar ha full Ubuntu, ez lehet nem is kell.
____________________
echo crash > /dev/kmem

( kallaics | 2018. 10. 17., sze – 18:30 )

Attól függ milyen tapasztalataid vannak. Sok jó megoldás létezik.
Én itt három szintre bontanám a lehetséges megoldásokat. A szintek különböző szintű tudást és tapasztalatot igényelnek. Az egyszerűbbtől lehet menni a bonyolultabb, de profibb megoldás felé.
Ez csak az én véleményem persze.

Level 1:
Ha csak SSH miatt érdekes a jelszó,akkor egy SSH kulcs generálása és egy ssh-copy-id parancs segíthet ezen a dolgon.
A rexify jó kis tool lehet kisebb infra esetében: https://www.rexify.org

Level 2:
Másik opció, hogy deployment tool-t használsz. Ansible, Chef, Puppet vagy amelyiket ismered.
Viszonylag jól kezelhető a kód tárolható git repóban házon belül. Veszélye a plain text jelszavak lehetnek. Van erre is megoldás már. Továbbá kell egy user,amivel a deployment tool bemegy pl Ansible esetén.

Level 3:
Harmadik Opció,hogy ha ez nem néhány felhasználó miatt kell, akkor mehet az LDAP + LAM (LDAP Account Manager). Az SSSD szép dolog, de ahány Ubuntu kiadás kb. annyiféle konfigot kell megalkotni. Másik fontos dolog az LDAP szerver elérhetősége. Fel kell tenni a kérdést magadban,hogy mi van ha lehal az LDAP, hogy tudsz bemenni a szerverekre? Backup user, root usernek jelszót állítasz stb...

"hogy tudsz bemenni a szerverekre?" konkretan megeltem az esetet, mikor kihoztunk egy vasat a bixbol, es utanna derult ki, hogy rakas szerveren ip-vel -igen ip cimmel- van osszekotve a beleptetes az azon futo LDAPpal. Hosszu este volt, foleg, hogy nekem meg akkor nem volt belepesi engedelyem a legtobb adatkozpontba. Mondjuk legalabb kijelentkeztem azokbol a gepekbol ahol a villogo root promt fogadott mikor radugtuk a konzolt :D

-
Advanced testing of Golang applications

Ezek azok a ...
- Van 5 perced?
- Mi is volt jelszó?
- Ki tudja a jelszót? - Béla, aki 5 éve nem dolgozik itt.
- ESXi konzol jelszó van? Az meg mi? Eddig nem volt rá szükség, mert minden ment az elmúlt 8 évben.

Csak,hogy a többi hasonló esetet ne is említsem :D
Az élet szép dolgokat tesz az ember elé.

Puppetet ismerem, viszont overkillnek tartom ennyi gépre (git repot csinálni, puppet mastert... stb)(btw, van modulja amivel meg tudok etetni hash-t, igy nincs gond a plain text jelszóval, legalábbis a yaml-be nem kerül plaintext pw).

Nézegetem a FreeIPA-t, szerintem ez lesz a kiválasztott.

Köszönöm mindnekinek a hozzászólást

-------------------------
Dropbox refer - mert kell a hely: https://db.tt/V3RtXWLl
neut @ présház

( zrubi v | 2018. 10. 17., sze – 23:25 )

LDAP.

Persze önmagában nem lesz elég, vagy eret vágsz mire kézzel összepakolod...

- Fullos megoldás, igény szerint minden csilivilivel együtt:
Zentyal - mivel moduláris, csak azt telepíted amire neked épp szükséged van.

- pure LDAP + webes management felület:
FusionDirectory

Ez tényleg pehelysúlyú!
Nekem otthon a NAS-on fut (amiben összesen! van 512Mb RAM),
többek között a Samba userek managelésére vezettem be.
Plugin rendszerű, így ezt is lehet bővíteni, attól függően mi mindent szeretnél LDAP-ból managelni.

--
zrubi.hu