-1

我们有几台 UNIX 机器,当您 telnet 到某个机器时,您可以使用它们。passwd 文件不在共享挂载上(我不确定挂载它们有多安全)。最终结果是,如果您在一个框中更改密码,那么当您登录到第二个框时,它会告诉您您的密码无效。这对最终用户来说毫无意义,因为他们在两个实例中都输入了 telnet servername。有任何实用的经验、建议或指示来帮助解决这种情况吗?

环境包含

  • AIX 5.3、5.2、5.1、4.3
  • 惠普 11 11.11 11.23 11.23I
  • 周日 10
  • Linux

更新:

我正在考虑在除一个之外的所有盒子上禁用密码。然后 passwd 可以是对控制密码服务器的远程调用,或者明确地告诉用户去哪台机器以更改他们的密码。

更新:

IBM 产品看起来确实很有趣,有人谈论过 Centrify 吗?

想法?

4

4 回答 4

8

为什么不使用 LDAP,因为它的设计目的就是为了做到这一点,甚至更多?

于 2009-03-24T01:36:58.883 回答
3

一种选择是从 telnet 转移到 ssh,并使用 ssh 密钥而不是密码。SSH 密钥的更改频率往往低于密码(用户可以在不接触远程服务器的情况下更改私钥的密码),而公钥通常位于用户的主目录中,您可以将其放在共享挂载上(大概是您已经做)。

除了解决同步问题之外,这将使您的环境更加安全。缺点是设置每个新用户的开销可能会稍高,因为您需要让他们创建一个密钥对并将公钥发送给管理员,管理员可以将其放置在他们的主目录中。

于 2009-03-27T22:52:09.780 回答
1

如果您有多个 UNIX 服务器,您可能希望在所有这些服务器上拥有一组密码和一组帐户。根据这是哪种 UNIX,您可能希望使用 nis 或 nis+ 或其他一些本机到该 UNIX 的解决方案来集中管理密码。

于 2009-03-24T01:20:22.467 回答
0

LDAP 答案很好!

您可以尝试来自 sun 的 NIS+。服务器/管理部分位于 Solaris 机器上,但它具有大多数 *nix 机器的客户端。这会自动在服务器组上同步密码、用户 ID、组和访问规则。

另一种选择(但前提是您的老板有大量预算!)是 IBM 的 Tivoli Federated Identity Manager。哪个同步密码 - 或 - 当您在框之间传递时切换用户 ID 和密码。

于 2009-03-31T07:18:37.820 回答