适用于Linux和Windows的服务器凭据管理

我们是一家相对较小的商店（就系统管理员数量而言），其中包含RHEL，Solaris，Windows 2003和Windows 2008服务器。总共约200台服务器。

对于我们的管理员帐户（root在Linux和admnistratorWindows中），我们有一个密码方案，该方案取决于数据中心位置和服务器的其他两个记录的属性。

在Linux上，我们目前的做法是创建一个共享的非特权帐户在那里我们可以su来root。在基于Windows的系统上，我们创建一个具有管理员特权的附加帐户。这两个帐户共享相同的密码。

事实证明这是非常低效的。当有人离开我们的商店时，我们必须：

1. 更改管理员帐户的密码方案
2. 为每台服务器生成一个新的管理员密码
3. 提出新的非管理员帐户密码
4. 触摸每台服务器并更改密码

我想知道在类似环境中是否有人可以建议一种更合理的方式来管理这些凭据。一些相关信息：

• 尽管我们的大多数服务器都属于AD域，但并非全部。
• 我们使用Puppet管理所有Linux服务器（我想到了密钥身份验证，但是只能解决上面提到的＃3问题）。
• 我们为Cobbler提供Linux服务器。
• 我们大约有10％的硬件专用于VMWare。在这些情况下，我们使用VMWare模板进行服务器构建。

任何想法或建议将不胜感激。这个问题已经存在了一段时间，我终于想解决它。

我将要提出的一些建议是：

• Windows AD连接的服务器可以使用组策略首选项（GPP）或计算机启动脚本通过组策略设置其本地管理员密码。请参阅http://social.technet.microsoft.com/Forums/zh-CN/winserverGP/thread/b1e94909-bb0b-4e10-83a0-cd7812dfe073/

• 除非需要，否则限制在Windows服务器上创建本地帐户。尽可能使用AD帐户。

• 使用LDAP for Linux计算机将管理员帐户认证为AD。这在某种程度上简化了帐户管理。而且，当管理员只在一个地方禁用并且没有访问权限时，您就可以随意清理Linux端了。

• 对Linux上的特定管理员帐户使用/ etc / sudoers文件，则管理员不需要root密码。这在您的实例中可能很好，因为这样他们将很少需要root密码，因此可以将其锁定。更新

• 将root和本地管理员密码保存在安全的密码中，而不是常识。一些密码保险箱具有委派和日志记录功能，因此，如果该人从未访问过密码，您甚至可能不需要重置密码。

• 自动为root和admin帐户重置密码。Linux和Windows都可以编写脚本来执行此操作，因此它可以节省您一些时间，而不会造成太大的负担。

希望能有所帮助。

您可以尝试看看FreeIPA是否适合您。

您可以从中央位置管理用户对主机的访问。正如其他人所建议的那样，您可以查看sudo是否对您有用，以进行根级访问。Freeipa在LDAP中支持sudoers，因此您不必在每个服务器上或通过puppet等对其进行维护。

Freeipa支持Linux，Solaris和Windows客户端。您可能会丢失某些AD功能，并且我不确定Windows客户端还会有哪些其他限制。

它具有复制功能，因此可以避免SPOF。后端是LDAP，因此您可以重用人们用于LDAP的许多工具，例如备份脚本。

它支持基于主机的访问控制，因此您可以说“用户X只能登录到Y服务器”。

它还提供AD同步。我不是Windows人士，所以我什至不知道那意味着什么。

不要使用标准的管理员帐户。在Windows方面，为需要管理员访问权限的每个用户创建一个用户帐户和一个管理员帐户。您可以使用任何工具来同步到UNIX。

如果有人离开了，那么您只需要删除其用户和管理员帐户即可。

要保护标准管理员帐户，请给它提供一个非常长且复杂的密码，然后确保任何人只有一半。如果他们需要使用整个帐户，则需要去寻找另一半的人。

我可以想到的那样安全。