当你telnet到某个盒子时,我们有几台你可以使用的UNIX机器。 passwd文件不在共享安装上(我不确定安装它们的安全性如何)。最终结果是,如果您在一个框中更改密码,当您登录到第二个框时,它将告诉您密码无效。这对最终用户没有意义,因为他们在两个实例中都输入了telnet servername。任何实用的经验,建议或指示,以帮助解决这种情况?
更新:
我正在考虑在除了一个之外的所有方框上禁用passwd。然后,passwd可以是对控制密码服务器的远程调用,或者明确告诉用户要去哪台机器以更改其密码。
更新:
如果任何人都有使用Centrify的经验,IBM产品确实看起来很有趣吗?
思想?
答案 0 :(得分:8)
为什么不使用LDAP,因为它只是为了做到这一点,甚至更多?
答案 1 :(得分:3)
一种选择是从telnet迁移到ssh,并使用ssh密钥而不是密码。 SSH密钥的更改频率往往低于密码(用户可以在不触及远程服务器的情况下更改私钥的密码),公钥通常位于用户的主目录中,您可以将其置于共享装载位置(可能是您已经使用的位置)做)。
除了解决同步问题之外,这将使您的环境更加安全。缺点是设置每个新用户的开销可能略高,因为您需要让他们创建密钥对并将公钥发送给管理员,管理员可以将其放在他们的主目录中。
答案 2 :(得分:1)
如果您有多个UNIX服务器,您可能希望在所有UNIX服务器中拥有一组密码和一组帐户。根据这种类型的UNIX,您可能希望使用nis或nis +或其他一些本机到UNIX的解决方案来集中管理密码。
答案 3 :(得分:0)
LDAP答案很好!
你可以试试太阳的NIS +。服务器/管理员片段位于Solaris盒子上,但它有大多数* nix boxen的客户端。这会自动同步服务器组上的密码,用户ID,组和访问规则。
另一种选择(但只有当你的老板预算很高!)才是IBM的Tivoli Federated Identity Manager。哪个同步密码 - 或 - 在框之间传递时切换用户ID和密码。