Мне достался кластер Jenkins из шести компьютеров Mac, все они находятся в серверной комнате и доступны только во внутренней сети, но имеют общего пользователя-администратора и пароль VNC для Mac OS X (для ясности: контроль доступа к программному обеспечению Jenkins отсортирован, я не об этом спрашиваю).
Я не devops или сетевой администратор; я работаю в рамках нескольких ограничений политики компании и я занимаю эту должность только «временно» (читай: неполный рабочий день, может быть, до года). Но я хотел бы навести порядок в этом ограниченном времени, которым я располагаю. Поскольку мое время и опыт в этой области ограничены, я делегирую некоторые административные задачи 3 другим людям по мере необходимости. Мне нужно решение, которое будет оставаться между этими людьми, и не будет делиться одним паролем между ними всеми, потому что пользователи, совместно использующие учетную запись/логин, противоречат политике моей компании (несмотря на то, что это происходит сейчас).
Было бы здорово иметь сетевые учетные записи пользователей, но, учитывая, что это не настроено, я думаю о создании локальных учетных записей для каждого администратора с доступом VNC (через стандартный Mac OS X Screen Sharing). Однако я беспокоюсь о 4 сеансах GUI, запущенных на машине, которая должна работать для нас. Не вызовет ли это проблем или тайм-аутов сеанса или чего-то подобного?
Какие у меня есть варианты и какой подход будет общепринятым, если вам нужно, чтобы 6 администраторов имели доступ к VNC, но у них должны быть отдельные пароли/учетные записи?
решение1
Open Directory (реализация LDAP от Apple) — это, вероятно, то, что вы ищете..
Если вы не хотите заморачиваться с настройкой, то да, локальные учетные записи для каждого администратора на каждом сервере подойдут... но для этого придется настроить 24 учетные записи, поэтому, похоже, настройка LDAP будет быстрее и проще.
Если вы используете VNC, многие реализации поддерживают аутентификацию на основе LDAP, хотя лично я считаю, что если вам нужен графический интерфейс для администрирования сервера, то вам не следует заниматься администрированием сервера, поэтому вот вам SSH.
Что касается загрузки ЦП с VNC, она не должна быть достаточно высокой, чтобы иметь существенное значение (обычно несколько % максимум), хотя я бы все равно предпочел предлагать только доступ по SSH, если только у меня нет действительно веской причины, по которой администраторам нужен GUI. В случае, если GUI необходим, вероятно, стоит рассмотреть RDP как вариант.