需要帮助管理我们系统上的开发人员身份验证。我们有多个CentOS服务器(数据库,Web,Redis等),能够以集中的(希望)简单的方式控制对它们的访问非常重要。我们现在使用的是authorized_keys文件,我们从开发人员生成的密钥中复制密钥数据。然而,这不是那么可扩展和灵活,因为每当有人进入/离开团队时我们都需要更新几个服务器。
我们可以使用的一种可能性是在执行sshd restart之前将集中文件复制到每个服务器。然而,我感兴趣的是,在我投入时间实现之前,找出是否有更好的模式或替代方法。
对多个用户进行身份验证的常用模式是什么,特别是在多服务器环境中?一个解决方案的奖励点也让我们定义某种角色,封装访问(即前端开发人员可能不需要访问数据库服务器,作为一个非常人为的例子)。
非常感谢!
答案 0 :(得分:1)
对于集中身份验证方法,您应该查看an OpenLDAP solution。这允许组织结构进行身份验证,结合SSH和PAM后端将允许集中管理用户。至于您的角色问题,您可以利用LDAP组并将它们与SSHD配置中的AllowGroups指令组合以允许此类访问(假设使用UsePAM设置SSH)。