解决方法
设置LDAP域
通过使用LDAP域,对任何计算机的每个身份验证请求都会重定向到域控制器.据我所知,一些Linux发行版可以加入Windows域,如果你已经有一个是活动的.有了这个,您可以完全集中控制网络中的所有用户.您可以立即从一台计算机添加和删除用户.
优点:
>最容易维护
>用户管理的即时效果
>如果您的公司中已经有一个活跃的域名,那么非常有用且便宜
>与通用域管理软件集成(即,如果您使用Windows)
缺点:
>如果LDAP控制器未集群,那将是单点故障,因此您必须考虑更多服务器
>(续)LDAP和集群的额外服务器使解决方案更加昂贵
>如果您还没有运行域控制器,则设置有点困难
> AFAIK您无法使用公钥认证
从集中式计算机分发SSH密钥
当您想对公钥使用更强的身份验证时,这非常有用.您可以在运行Cron作业的单个框上上传所有用户的密钥,以便在特定时间间隔将pubkeys扫描到正确的主目录
优点:
>容错.任意数量的服务器都可能崩溃,但可用的计算机不会受到影响
>最简单,最便宜的设置
缺点:
>如果您的用户数超过“五”,即.您正在大型企业网络上工作,用户管理非常困难
>(从上面继续)必须为每个服务器创建用户创建,删除等,通常使用复制命令的脚本
>如果不手动运行脚本,则公钥会延迟更新
将主目录挂载到共享网络驱动器(NFS,SSHFS …)
这具有修改公钥的实时效果的优点(因为它们总是从网络共享中读取).此外,如果将/ etc / shadow作为共享驱动器的符号链接,则可以从控制器进行实时用户管理
优点:
>除了实时修改外,并不多
>整个主目录在服务器之间共享(它通常很方便,相信我……)
缺点:
>容错为LDAP域.您需要复制主目录或无法进行身份验证>比设置和维护的解决方案更棘手