3

需要帮助管理我们系统上的开发人员身份验证。我们有多个 CentOS 服务器(数据库、Web、Redis 等),能够以集中(希望)简单的方式控制对它们的访问非常重要。我们现在使用的是 authorized_keys 文件,我们从开发人员生成的密钥中复制密钥数据。然而,这并不是那么可扩展和灵活,因为每当有人进入/离开团队时,我们都需要更新多个服务器。

我们可用的一种可能性是在执行sshd restart. 然而,在我投入时间实施之前,我有兴趣找出是否有更好的模式或替代方法。

验证多个用户的通常模式是什么,尤其是在多服务器环境中?一个解决方案的奖励点还允许我们定义某种角色,以封装访问(即前端开发人员可能不需要访问数据库服务器,作为一个非常人为的例子)。

非常感谢!

4

1 回答 1

1

对于集中式身份验证方法,您应该研究OpenLDAP 解决方案。这允许用于身份验证的组织结构,结合 SSH 和 PAM 后端将允许集中管理用户。至于您的角色问题,您可以利用 LDAP 组并将它们与AllowGroupsSSHD 配置中的指令结合起来以允许此类访问(假设 SSH 是使用 UsePAM 设置的)。

于 2013-03-03T03:24:16.480 回答