我有以下设置:许多计算机(它们都有最新的 Ubuntu),用户多于计算机。我想做这样任何人都可以从任何计算机登录到他们的用户,并且他们拥有所有的文件、二进制文件等。
另外,所有的计算机都将由一台运行 ansible 的计算机控制。
我的问题是:我将如何去做,以便“任何人都可以从任何计算机登录到他们的用户,并且他们拥有所有的文件、二进制文件等”。
AskOverflow.Dev
我有以下设置:许多计算机(它们都有最新的 Ubuntu),用户多于计算机。我想做这样任何人都可以从任何计算机登录到他们的用户,并且他们拥有所有的文件、二进制文件等。
另外,所有的计算机都将由一台运行 ansible 的计算机控制。
我的问题是:我将如何去做,以便“任何人都可以从任何计算机登录到他们的用户,并且他们拥有所有的文件、二进制文件等”。
第一步是在每台计算机上实际拥有每个人的帐户。
理论上,您可以使用 Ansible 在任何地方创建相同的帐户,但更常见的是将它们放在中央数据库上,通常是 LDAP(使用 FreeIPA、MS Active Directory 或自制设置);过去是 NIS,但现在大多已经过时了。Ubuntu 有两个 LDAP 客户端:SSSD (libnss_sss) 和 nslcd aka nss-pam-ldapd (libnss_ldap)。
其次,由于这些帐户是用于本地登录的——使用密码而不是 SSH 密钥——你需要某种中央身份验证(在 Linux 上,它与帐户数据库是分开的)。特别是对于部署 Ansible 的帐户,您真的不希望人们在每台机器上本地更改密码并忘记哪台机器有哪个密码,因此最好重新路由
passwd以与中央服务器通信。例如,当为帐户使用 LDAP 时,通常让同一个 LDAP 服务器也处理身份验证。但是,在您的情况下,使用 Kerberos 进行身份验证具有特定优势——它内置于 AD 和 FreeIPA 中,但也易于手动设置。SSSD 客户端将通过相同的 pam_sss 处理 LDAP 或 Kerberos;其他一切使用 pam_krb5。
设置 NFSv4 服务器并将每个人的主目录放在 NFS 上。(并确保网络和 NFS 服务器都足够快以支持这一点。如果第一个服务器死了,请准备好备用服务器,否则每个人的工作都会停止。做备份。)
这可以通过 fstab 挂载“所有用户主目录”NFS 共享来完成,但更常见的是使用autofs守护程序,它可以按需挂载单个主目录。
您肯定希望实现 Kerberos 以进行用户身份验证(例如,通过 pam_krb5 或 pam_sss),因为这是从不受信任的客户端机器(使用
sec=krb5mount 选项)获得安全 NFS 访问的唯一方法。