У меня в офисе работает несколько физических (настольных) машин, объединенных в новую сеть для обработки и обслуживания данных с открытым исходным кодом; на некоторых из этих машин также размещены виртуальные машины.
На данный момент, если сотруднику нужен административный доступ к этой сети, мне приходится вручную создавать учетные записи на каждой машине и настраивать ключ SSH для каждой из них (всего около 12).
Можно ли ввести новую машину, которая может действовать как узел входа SSH, который после входа в систему позволит получить доступ ко всем другим машинам? Может ли она также позволить создавать и настраивать новые учетные записи на узле входа, а затем распространять это на «вычислительные» узлы?
Я могу справиться с администрированием одного узла Unix, но сетевое взаимодействие для меня в новинку. Какие технологии мне понадобятся для этого (если это возможно)?
Заранее спасибо!
решение1
Добавление этих пользователей на каждую машину превратится в PITA! Большинство людей подключили бы их к лесу AD или, возможно, внедрили бы какое-то другое правильное решение LDAP. Вы всегда можете вернуться назад и внедрить NIS, я полагаю? В худшем случае, просто SCP /etc/passwd, /etc/shadow и /etc/groups на каждый узел после того, как вы добавили пользователей на один. Ansible в наши дни — это крутая штука, и она, вероятно, поможет вам сделать ряд других вещей, которые в конечном итоге придется делать на каждой машине в вашем парке в тот или иной момент.
Добавление локальных учетных записей на каждой машине работает, но это может стать проблемой в будущем. Почему у нас есть NIS, LDAP и AD. Одно место, куда можно обратиться для деактивации пользователя, и это отразится на всем вашем парке. Если вы получите какой-либо из стандартных аудитов безопасности отрасли, вы, скорее всего, потерпите неудачу, если не реализуете общее решение для доступа и авторизации, такое как LDAP или AD.