Pregunta ¿Solución de SSO y administración centralizada de usuarios para aproximadamente 10-30 máquinas Ubuntu?


Estoy buscando una forma limpia de centralizar la gestión de usuarios. La puesta en marcha:

  • Unas 10-30 máquinas linux (servidor Ubuntu 10.04 LTS)
  • Tal vez 10-30 usuarios por ahora.

Los requisitos (esperanzas y expectativas):

  • Un lugar único para que el administrador administre las cuentas de usuario, las contraseñas y la lista de máquinas a las que cada usuario tiene acceso. (Y probablemente grupos.) No tiene que ser lujoso.

  • Inicio de sesión único para SSH: el usuario debe poder iniciar sesión desde la máquina A a la máquina B sin volver a ingresar su contraseña.

Las búsquedas rápidas en Google me dan sugerencias sobre OpenLDAP y Kerberos, pero no estoy seguro de por dónde empezar y qué problema resolverá realmente cada solución. ¿Adónde ir? Me encantaría encontrar un claro Tutorial que se centra en este tema. (O: ¿estoy haciendo "una pregunta incorrecta"?)


7
2018-05-27 17:16


origen




Respuestas:


Google te ha llevado por el camino correcto. Lo ideal es que desee tanto LDAP para la administración central de usuarios como Kerberos para su seguridad y SSO agregados.

LDAP solo le proporcionará una administración de usuarios centralizada, pero los usuarios también tendrán que volver a autenticarse con cada servicio al que se están conectando. Aquí es donde entra Kerberos en el que se emite un ticket al cliente que le otorga al usuario acceso a otros servicios una vez que se han autenticado.

Para Kerberos necesitarás una fuente de tiempo sincronizada estable. Así que comenzaría configurando NTP, DHCP y DNS correctamente. Luego, configure las estaciones de trabajo cliente para obtener su NTP desde DHCP. Una vez que sepa que tiene una fuente de tiempo estable, puede configurar los servidores LDAP y Kerberos para proporcionar los servicios de directorio necesarios para unirlos.


8
2018-05-27 17:24





He encontrado el Spinlock Guías excelentes para esto; Los he usado para configurar un entorno de SSO con el reenvío de tickets ssh para una oficina de desarrollo de unos 30 desarrolladores. Hay muchos componentes diferentes para esto y es un poco difícil de administrar. Querrá un buen cliente LDAP como Directory Studio de Apache para el mantenimiento del usuario.

Si hay un Active Directory en algún lugar de su empresa, Del mismo modo (Google para Apertura también, Serverfault no me permitirá publicar más de un enlace) ahora tiene una versión de código abierto de su solución SSO que vale la pena ver. También es compatible con el reenvío de boletos ssh.


4
2018-05-27 18:55



+1 enlace realmente bueno - neuro