Какие параметры доступны для синхронизации паролей между серверами с балансировкой нагрузки?

Question

У нас есть несколько машин UNIX, с которыми вы можете подключиться, когда подключитесь к определенной коробке. Файлы passwd не находятся на общем монтировании (я не уверен, насколько безопасно их монтировать в любом случае). Конечный результат заключается в том, что если вы измените свой пароль в одном окне, то при входе во второе окно он сообщит вам, что ваш пароль неверен. Это не имеет смысла для конечного пользователя, так как они набрали имя сервера telnet в обоих случаях. Любой прагматический опыт, советы или указатели, чтобы помочь разрешить эту ситуацию?

ОКРУЖАЮЩАЯ СРЕДА

• AIX 5.3, 5.2, 5.1, 4.3
• HP 11 11,11 11,23 11,23
• Солнце 10
• Linux

UPDATE:

Я рассматриваю возможность отключения passwd на всех полях, кроме одного. Затем passwd может быть удаленным вызовом к серверу управляющих паролей или явно указывать пользователю, на какую машину перейти, чтобы сменить пароль.

UPDATE:

Продукт IBM выглядит интересно, у кого-нибудь был опыт общения с Centrify?

Мысли

Answer 1

Почему бы не использовать LDAP, поскольку он был разработан именно для этого и даже больше?

Answer 2

Одним из вариантов будет переход с telnet на ssh и использование ключей ssh ​​вместо паролей. Ключи SSH, как правило, меняются реже, чем пароли (пользователь может изменить секретную фразу закрытого ключа, не касаясь удаленного сервера), а открытый ключ обычно находится в домашнем каталоге пользователя, который вы можете поместить в общее монтирование (предположительно то, что вы уже сделали). делать).

Это сделает вашу среду более безопасной, в дополнение к решению проблемы синхронизации. Недостатком является то, что накладные расходы могут быть немного выше при настройке каждого нового пользователя, так как вам нужно, чтобы он создал пару ключей и отправил открытый ключ администратору, который может поместить его в свой домашний каталог для них.

Answer 3

Если у вас более одного сервера UNIX, вы, вероятно, хотите иметь один набор паролей и один набор учетных записей для всех из них. В зависимости от того, какой тип UNIX это, вы можете использовать nis или nis + или другое решение, встроенное в UNIX, для централизованного управления паролями.

Answer 4

Ответ на LDAP был хорош!

Вы можете попробовать NIS + от солнца. Сервер / администратор работает на Solaris, но у него есть клиенты для большинства * nix boxen. Это автоматически синхронизирует пароли, идентификаторы пользователей, группы и правила доступа по группам серверов.

Другой вариант (но только если у вашего босса большой бюджет!) - это Tivoli Federated Identity Manager от IBM. Который либо синхронизирует пароли, либо переключает идентификатор пользователя и пароль при переходе между полями.