Сервер каталогов Linux с существующими локальными учетными записями
Мы делаем test/devel VMs на рабочих станциях, а не централизованных серверах VM. Основные преимущества являются лучшим управлением разработчика (перезагрузки, игра, и т.д.), лучшая изоляция (если dev делает что-то действительно глупое, худшее, которое может произойти, - то, что они расплавляют ЦП своей собственной рабочей станции в стекло), и то, что существуют иначе все эти аппаратные средства, просто находящиеся там под столами людей, делающими ничто ("зеленые" вычисления и все это)...
Это сделало бы себя много пользы, если бы Вы решаете синхронизировать uids/gids в своей целой организации, полное усилие по обслуживанию было бы намного легче.
И это может быть достигнуто относительно безболезненным способом:
- создайте или настройте свой центральный каталог
- выберите пространство uid/gid, которое требуется использовать (удостоверьтесь, что оно не перекрывает ничего, что Вы используете теперь и не повторно отображаете uids, который будет локален для хостов только - система и учетные записи демона и т.д.),
- обслуживание расписания повреждается для каждой из Ваших машин
- подготовьте сценарий для сброса владения после повторно отображающихся пользователей; что-то вроде этого работало однажды на меня:
find /path/to/what/has/to/be/preserved -printf "chown -c %u:%g \"%h/%f\"\n" > preserve
- переключитесь на свою новую службу каталогов
- удалите или повторно отобразите несистемную часть своего/etc/passwd и/etc/group
- восстановите владение файла/каталога путем запущения сгенерированного скрипта (sh, заповедник сделает),
- промывка, повторитесь, прибыль!
Примечания:
- сгенерированный сценарий не эффективен вообще, поскольку он возвращает владение один файл одним; но это должна быть хорошая демонстрация общего представления.
- если Вы имеете какие-либо suid/sgid двоичные файлы и каталоги там, записываете их в сценарии также, например, путем изменения printf пункта на "показанный-c %u: % g \"%h / % f \"\nchmod-c %m \" %h / % f \"\n"
-
1Только проблема с созданием сценария заранее состоит в том что это won' t обрабатывают файлы, которые создаются между временем создания сценария и временем выполнения. Можно использовать, находят, чтобы сделать изменение для Вас: например: найти.-uid 1020 - должностное лицо, показанное 255 {}; найти. - ценуроз 2000 - должностное лицо chgrp 500 {}; просто необходимо быть уверены, что Вы делаете изменения xID в правильном порядке, т.е. Вас can' t изменяют UID 500 to 600, если Вы сначала не переместили UID 600 в то, чем это должно быть. ( wiki.xdroop.com/space/Linux/uid+hell ) – David Mackintosh 26 November 2009 в 16:09
-
2That' s, почему я рекомендовал планировать окно обслуживания; я не был достаточно ясен - я должен был также отметить, что это потребовало бы блокировки интерактивных пользователей из машины и остановки любых сервисов, которые генерируют пользовательские файлы в течение времени перехода. – Jubal 26 November 2009 в 20:24
Большинство систем аутентификации использует UID и GID для отображения пользователей вокруг. Таким образом, важно, чтобы они соответствовали, если они собираются быть присутствующими в нескольких местах. И точка наличия центральной службы каталогов должна избежать нескольких местоположений.
Переотображение UID является одной из тех вещей, которая не является слишком болезненной, чтобы сделать на небольших сайтах и становится обязательной, если Вы имеете дело с более крупными сайтами, поскольку вознаграждения (в обходе нескольких мест для управления вещами) масштабируются быстрее, чем боль (создания вещей право).
Да, Вы можете. Довольно легко настроить и довольно непроблематичный (как долго, поскольку Вы сохраняете свои часы синхронизируемыми!).
Инструкции сделать так находятся в руководстве по развертыванию RHEL.
Если у Вас есть AD, я предлагаю, чтобы Вы использовали это, поскольку я полагаю, что синхронизирующий Linux к AD мог бы быть легче, чем синхронизирование Windows к чему-либо еще, чем AD.
Я рекомендовал этому продукту десятки времен, но он сохранил меня полностью. Это называют Аналогично Открытым, это свободно и с открытым исходным кодом, и это существует, чтобы заставить Ваши машины пройти проверку подлинности против Active Directory.
UID/Ценурозы является хешем, который делает их универсальными через Вашу всю инфраструктуру. Путем реализации его я объединил почти каждый механизм аутентификации в своей компании. Доступ Shell, апачский автор, самба, и т.д. И так как я использую Active Directory, все, что может использовать LDAP, может автор против него также, поэтому теперь учетные записи моих пользователей идентичны на машинах, их рабочих столах, нашем внутреннем сервере бессмысленных данных, наших концентраторах VPN SSL, и т.д. и т.д. и т.д.
Я не могу рекомендовать это достаточно.