Movendo vários desktops de /etc/passwd para LDAP

Em primeiro lugar, perguntas para tutoriais, etc., estão fora do tópico .

Alguns pensamentos:

• Você está certo, as informações sobre isso estão espalhadas, muitas vezes desatualizadas e não confiáveis. Por exemplo, você encontra muitas informações sobre como configurar o OpenLDAP com arquivos de configuração, mas muito pouco sobre cn=config. Meu palpite é que isso é resultado do fato de que cada migração como essa é diferente e simplesmente não existe uma maneira de proceder. É impossível escrever um tutorial sobre isso que funcione em qualquer lugar ou você acaba escrevendo um livro muito grande.
• Isso significa que você deve juntar as peças e adaptá-las à sua situação. Não há maneira de contornar isso. Você tem sorte, pois seu ambiente parece muito pequeno e simples e, se necessário, tudo o que é necessário pode ser feito em um fim de semana.
• As ferramentas de virtualização são uma excelente ajuda para isso, pois você pode facilmente simular tudo em seu laptop, sem afetar mais ninguém.

Eu tenho algumas dicas gerais para você como proceder. Isso pressupõe um método passo a passo sem muito tempo de inatividade.

• Crie uma lista de todos os usuários.
• Certifique-se manualmente de que eles tenham o mesmo UID etc. em todos os sistemas. Principalmente, isso significa editar /etc/passwdetc. e findtodos chmodos arquivos pertencentes a um usuário.
• Se você tiver nomes de usuário conflitantes, isso deve ser resolvido nesta etapa (por exemplo, os dois Bobs de Vendas e Atendimento ao Cliente são nomeados bobem suas máquinas)
• Neste ponto, você pode adicionar todos os usuários com os UIDs unificados ao banco de dados LDAP. Dica profissional: com o OpenLDAP no Linux, você pode reutilizar a senha /etc/shadowse adicionar {crypt}como um prefixo de tipo de senha no campo LDAP userPassword(assim você se transforma $1$E.1Saa9d$LcRBQDLfnzR6WF4HmbjpC/em{crypt}$1$E.1Saa9d$LcRBQDLfnzR6WF4HmbjpC/
• Agora você pode configurar suas máquinas uma a uma para autenticar no LDAP e as contas de usuário ainda devem funcionar com a mesma senha (mas lembre-se de excluir/renomear os usuários locais).
• Crie um servidor NFS para diretórios pessoais e verifique se ele está montado em todos os lugares (o iSCSI tem uma finalidade diferente).
• Copie os diretórios iniciais dos usuários para o compartilhamento NFS, renomeie o antigo /homepara outra coisa e monte o compartilhamento NFS como /home.

Este pode ser um processo mais ou menos direto, mas dependendo do seu ambiente, problemas podem (irão!) aparecer. Mas ao fazer as coisas ao longo deste caminho, você pode lidar com elas uma a uma conforme elas aparecem. Não há nenhum ponto em que você esteja em uma situação de tudo ou nada que tenha o potencial de interromper tudo. Esta é uma situação muito confortável para tal projeto.

Se você acabar tendo perguntas específicas ao longo do caminho, faça novas perguntas aqui.

Pedidos de materiais de aprendizagem e tutoriais estão fora do tópico .

Qual sequência de ações seguir, no que prestar atenção, como minimizar os riscos de perda de dados, como minimizar o tempo de inatividade dos usuários etc.?

Comece decidindo sobre seus requisitos e escopo. Anote-os e faça uma revisão.
Pense em configurar o Kerberos além do LDAP também. A possibilidade de logon único geralmente será um benefício comercial real para seus usuários finais, além de torná-los mais dispostos a tolerar interrupções durante o processo de migração. Os usuários finais geralmente não se importam com a mudança em geral e, obviamente, não veem nenhum benefício imediato no que percebem como melhorias operacionais que beneficiam apenas a vida dos administradores do sistema.
O FreeIPA oferece uma abordagem integrada lá.

Faça um inventário dos arquivos passwd e de grupo existentes, bem como das sudoconfigurações. Não negligencie outros serviços atualmente protegidos por nome de usuário/senha, que podem se beneficiar da integração com um diretório central de usuários (e SSO), como diretórios protegidos em seus servidores da web, etc.

Teste sua abordagem, scripts etc. Faça backups e teste restaurá-los. O SSSD parece ser a maneira de configurar suas estações de trabalho e servidores para integração com o diretório (e FreeIPA) de forma relativamente indolor.

A montagem de diretórios pessoais centrais em estações de trabalho geralmente é uma boa ideia, especialmente combinada com o montador automático (autofs). Fazer o mesmo em servidores (também sob demanda com auto-fs) parece gerar mais discussão. Se você seguir esse caminho, pense muito se você ou seus usuários devem ser os únicos a mesclá-los.

O risco de perda de dados é relativamente pequeno, mas você faz backups e testa a restauração regularmente, certo?

Suponha que o usuário 'roberto' esteja presente (com IDs diferentes) em duas máquinas. Ao migrar as informações de /etc/passwd de ambas as máquinas para o LDAP, elas são "mescladas" durante o processo? Se não, o que deve ser feito?

Não, eles não são mesclados automaticamente, pois as contas de usuário podem ter apenas um único número UID e cada nome de usuário também deve ser exclusivo. Como a propriedade do arquivo é armazenada pelo sistema de arquivos no número UID, descartar um UID resultaria na perda do proprietário dos direitos sobre esses arquivos. Você precisará alterar o proprietário do original para corresponder ao eventual número UID que você decidir para o usuário duplicado que é a mesma pessoa real. por exemplo, algo parecido com o find -owner old-UID -exec chown new-UID '{}' \;nome de usuário duplicado para diferentes pessoas reais resultará em um novo nome de usuário para um deles, ou ambos acreditam em compartilhar a dor.

O mesmo vale para os usuários do grupo principal.

A migração pode ser feita em etapas, apenas para um usuário começar? É aconselhável?

O método de autenticação é definido principalmente por sistema e não por usuário, migrar host por host faz mais sentido do que migrar por usuário. Se cada usuário tiver sua própria estação de trabalho, você poderá começar com elas, uma de cada vez, pois qualquer problema limitará o impacto a um único usuário. Depois que todos os usuários estiverem no diretório, fazer os servidores é relativamente fácil.

A próxima etapa desejada é centralizar os diretórios pessoais dos usuários em algum espaço de rede (NFS ou iSCSI). Qualquer indicação para esta próxima etapa também seria bem-vinda, especialmente se vinculada à migração para o LDAP.

Um compartilhamento de arquivo é um lugar muito melhor para diretórios pessoais centralizados do que um dispositivo de bloco, então definitivamente vá para o NFS. Com o NFSv4, muitos dos problemas do NFS clássico foram resolvidos e combinados com o Kerberos, além de melhorar muito a segurança.

A conversão da autenticação em uma estação de trabalho pode acontecer simultaneamente com a mudança para um diretório pessoal centralizado.

Quanto ao sistema que você pretende, pode valer a pena optar pelo Free IPA , porque se, no futuro, alguém implementar algumas caixas do Active Directory, será muito fácil vinculá-lo.

Quanto à migração... Bem, pelo menos você está falando em pequena escala, então "etch-a-sketch end of the network" é uma opção.

Direitos de sudo, obviamente, isso é vital, com essa pequena quantidade de máquinas, qualquer coisa de acl deve ser fácil de manusear.

Obviamente, você não pode ter usuários com o mesmo nome no LDAP e no local, então eu começaria consertando seus servidores e integrando-os com o diretório e, em seguida, passaria para os desktops.