Heredé un grupo Jenkins de seis Mac, todos los cuales se encuentran en una sala de servidores y son accesibles solo a través de la red interna, pero tienen un usuario administrador compartido y una contraseña VNC para Mac OS X (Para aclarar: los controles de acceso al software Jenkins son ordenado, no estoy preguntando sobre eso).
No soy devops ni administrador de red; Estoy trabajando bajo algunas restricciones de la política de la empresa y solo estoy desempeñando el puesto "temporalmente" (léase: a tiempo parcial, tal vez hasta por un año). Pero me gustaría solucionar esto con el tiempo limitado que tengo disponible. Debido a que mi tiempo y experiencia en esta área son limitados, delego algunas tareas administrativas a otras 3 personas según sea necesario. Quiero una solución que permanezca entre esas personas y que no comparta una sola contraseña entre todos, porque los usuarios que comparten una cuenta/inicio de sesión van en contra de la política de mi empresa (a pesar de que está sucediendo ahora).
Sería fantástico tener inicios de sesión de usuarios de red, pero dado que esto no está configurado, estoy pensando en crear cuentas locales para cada administrador con acceso VNC (a través del uso compartido de pantalla estándar de Mac OS X). Sin embargo, me preocupa que se ejecuten 4 sesiones de GUI en una máquina que está destinada a funcionar para nosotros. ¿Esto causará problemas o tiempos de espera de sesión o similares?
¿Cuáles son mis opciones aquí y cuál sería un enfoque común cuando necesita que 6 administradores tengan acceso a VNC, pero contraseñas/cuentas individuales?
Respuesta1
Open Directory (implementación LDAP de Apple) es probablemente lo que estás buscando.
Si no quiere molestarse en configurar eso, sí, las cuentas locales para cada administrador en cada servidor funcionarían... pero serían 24 cuentas para configurar, por lo que parece que configurar LDAP sería más rápido y sencillo. .
Si está casado con VNC, muchas implementaciones permiten la autenticación basada en LDAP, aunque personalmente, mi sensación sería que si necesita la GUI para administrar un servidor, no tiene por qué administrar un servidor, así que aquí está SSH.
En cuanto a la carga de la CPU con VNC, no debería ser lo suficientemente alta como para marcar una diferencia significativa (generalmente un pequeño porcentaje como máximo), aunque todavía preferiría ofrecer acceso SSH únicamente, a menos que tenga una razón realmente convincente de por qué los administradores necesitan una GUI. En el caso de que se requiera una GUI, probablemente también valga la pena considerar RDP como una opción.