我们有几台 UNIX 机器,当您 telnet 到某个机器时,您可以使用它们。passwd 文件不在共享挂载上(我不确定挂载它们有多安全)。最终结果是,如果您在一个框中更改密码,那么当您登录到第二个框时,它会告诉您您的密码无效。这对最终用户来说毫无意义,因为他们在两个实例中都输入了 telnet servername。有任何实用的经验、建议或指示来帮助解决这种情况吗?
更新:
我正在考虑在除一个之外的所有盒子上禁用密码。然后 passwd 可以是对控制密码服务器的远程调用,或者明确地告诉用户去哪台机器以更改他们的密码。
更新:
IBM 产品看起来确实很有趣,有人谈论过 Centrify 吗?
想法?
为什么不使用 LDAP,因为它的设计目的就是为了做到这一点,甚至更多?
一种选择是从 telnet 转移到 ssh,并使用 ssh 密钥而不是密码。SSH 密钥的更改频率往往低于密码(用户可以在不接触远程服务器的情况下更改私钥的密码),而公钥通常位于用户的主目录中,您可以将其放在共享挂载上(大概是您已经做)。
除了解决同步问题之外,这将使您的环境更加安全。缺点是设置每个新用户的开销可能会稍高,因为您需要让他们创建一个密钥对并将公钥发送给管理员,管理员可以将其放置在他们的主目录中。
如果您有多个 UNIX 服务器,您可能希望在所有这些服务器上拥有一组密码和一组帐户。根据这是哪种 UNIX,您可能希望使用 nis 或 nis+ 或其他一些本机到该 UNIX 的解决方案来集中管理密码。
LDAP 答案很好!
您可以尝试来自 sun 的 NIS+。服务器/管理部分位于 Solaris 机器上,但它具有大多数 *nix 机器的客户端。这会自动在服务器组上同步密码、用户 ID、组和访问规则。
另一种选择(但前提是您的老板有大量预算!)是 IBM 的 Tivoli Federated Identity Manager。哪个同步密码 - 或 - 当您在框之间传递时切换用户 ID 和密码。