-1

特定のボックスに telnet で接続するときに使用できる UNIX マシンがいくつかあります。passwd ファイルは共有マウント上にありません (いずれにせよ、それらをマウントすることがどれほど安全かはわかりません)。最終的な結果として、1 つのボックスでパスワードを変更すると、2 番目のボックスにログインしたときにパスワードが無効であることが通知されます。両方のインスタンスで telnet servername を入力したため、これはエンド ユーザーには意味がありません。この状況を解決するのに役立つ実用的な経験、アドバイス、または指針はありますか?

環境に含まれるもの

  • AIX 5.3、5.2、5.1、4.3
  • HP 11 11.11 11.23 11.23I
  • 10日
  • Linux

アップデート:

1 つを除くすべてのボックスで passwd を無効にすることを検討しています。passwd は、制御パスワード サーバーへのリモート呼び出しにするか、パスワードを変更するためにどのマシンに移動するかをユーザーに明示的に伝えることができます。

アップデート:

IBM の製品は面白そうですが、Centrify を使った経験のある人はいますか?

考え?

4

4 に答える 4

8

LDAP はそれだけでなく、それ以上のことを行うように設計されているのに、なぜ LDAP を使用しないのでしょうか?

于 2009-03-24T01:36:58.883 に答える
3

1 つのオプションは、telnet から ssh に移行し、パスワードの代わりに ssh キーを使用することです。SSH キーはパスワードよりも頻繁に変更される傾向がなく (ユーザーはリモート サーバーに触れずに秘密キーのパスフレーズを変更できます)、公開キーは通常、ユーザーのホーム ディレクトリにあり、共有マウントに置くことができます (おそらく、既に行う)。

これにより、同期の問題が解決されるだけでなく、環境がより安全になります。欠点は、新しいユーザーごとにセットアップする際のオーバーヘッドがわずかに高くなる可能性があることです。これは、ユーザーにキー ペアを作成させ、公開キーをホーム ディレクトリに配置できる管理者に送信する必要があるためです。

于 2009-03-27T22:52:09.780 に答える
1

複数の UNIX サーバーがある場合は、すべてのサーバーで 1 セットのパスワードと 1 セットのアカウントを使用することをお勧めします。UNIX の種類に応じて、nis や nis+、またはその他の UNIX 固有のソリューションを使用して、パスワードを集中管理することができます。

于 2009-03-24T01:20:22.467 に答える
0

LDAP の回答は良かったです。

Sun から NIS+ を試すことができます。サーバー/管理部分は Solaris ボックス上にありますが、ほとんどの *nix ボックス用のクライアントがあります。これにより、パスワード、ユーザー ID、グループ、およびアクセス ルールがサーバーのグループにわたって自動的に同期されます。

もう 1 つのオプション (ただし、上司に大きな予算がある場合のみ!) は、IBM の Tivoli Federated Identity Manager です。どちらがパスワードを同期するか、またはボックス間を通過するときにユーザー ID とパスワードを切り替えます。

于 2009-03-31T07:18:37.820 に答える