প্রশ্ন লিনাক্স এবং উইন্ডোজের জন্য সার্ভারের শংসাপত্র ব্যবস্থাপনা


আমরা RHEL, Solaris, উইন্ডোজ 2003 এবং উইন্ডোজ 2008 সার্ভারগুলির মিশ্রণের সাথে তুলনামূলকভাবে ছোট দোকান (যতদূর সিএসডামিনস সংখ্যা)। প্রায় 200 সার্ভার।

আমাদের প্রশাসক অ্যাকাউন্টের জন্য (root লিনাক্সে এবং admnistrator উইন্ডোজ এ), আমাদের একটি পাসওয়ার্ড স্কিম রয়েছে যা ডেটা কেন্দ্রের অবস্থান এবং সার্ভারের কয়েকটি নথিভুক্ত বৈশিষ্ট্যগুলির উপর নির্ভর করে।

লিনাক্সে, আমাদের বর্তমান অনুশীলনটি এমন একটি ভাগ করা অ-বিশেষাধিকারী অ্যাকাউন্ট তৈরি করা যেখানে আমরা করতে পারি su থেকে root। উইন্ডোজ ভিত্তিক সিস্টেমে, আমরা প্রশাসক সুবিধাগুলির সাথে একটি অতিরিক্ত অ্যাকাউন্ট তৈরি করি। এই দুটি অ্যাকাউন্ট একই পাসওয়ার্ড শেয়ার করুন।

এই খুব অদক্ষ প্রমাণিত হয়েছে। যখন কেউ আমাদের দোকান ছেড়ে দেয়, আমাদের তা করতে হবে:

  1. প্রশাসক অ্যাকাউন্টের জন্য পাসওয়ার্ড স্কিম পরিবর্তন করুন
  2. প্রতিটি সার্ভারের জন্য একটি নতুন প্রশাসক পাসওয়ার্ড তৈরি করুন
  3. একটি নতুন অ-প্রশাসক অ্যাকাউন্ট পাসওয়ার্ড দিয়ে আসুন
  4. প্রতিটি সার্ভার স্পর্শ এবং পাসওয়ার্ড পরিবর্তন

আমি জানতে চাই যে অনুরূপ পরিবেশে কেউ এই প্রমাণপত্রাদি পরিচালনার আরও সরল পথের পরামর্শ দিতে পারে। কিছু প্রাসঙ্গিক তথ্য:

  • যদিও আমাদের সার্ভারগুলির অধিকাংশই আমাদের এডি ডোমেনের অংশ, তবে সবই নয়।
  • আমরা আমাদের সমস্ত লিনাক্স সার্ভার পরিচালনা করি যা পুতুলের সাথে (কী প্রমাণীকরণ আমি একটি বিকল্প ছিলাম কিন্তু এটি শুধুমাত্র উপরের 3 টি উদ্বেগকেই সমাধান করবে)।
  • আমরা cobbler সঙ্গে লিনাক্স severs বিধান।
  • আমাদের হার্ডওয়্যার প্রায় 10% VMWare নিবেদিত হয়। সে ক্ষেত্রে, আমরা সার্ভার নির্মাণের জন্য ভিএমওয়্যার টেমপ্লেটগুলি ব্যবহার করি।

কোন ধারনা বা পরামর্শ ব্যাপকভাবে প্রশংসা করা হবে। এটি একটি সমস্যা যা কিছু সময়ের জন্য স্থির করা হয়েছে এবং আমি অবশেষে এটি সমাধান করতে চাই।


12
2017-09-15 08:53


উত্স




উত্তর:


আমি কিছু পরামর্শ আছে হবে:

  • উইন্ডোজ এডি সংযুক্ত সার্ভারগুলি তাদের স্থানীয় প্রশাসক পাসওয়ার্ডগুলি গ্রুপ পলিসি পছন্দসই (জিপিপি) বা কম্পিউটার স্টার্টআপ স্ক্রিপ্ট ব্যবহার করে গ্রুপ নীতির মাধ্যমে সেট করতে পারে। দেখ http://social.technet.microsoft.com/Forums/en-US/winserverGP/thread/b1e94909-bb0b-4e10-83a0-cd7812dfe073/

  • প্রয়োজন না হওয়া পর্যন্ত উইন্ডোজ সার্ভারে স্থানীয় অ্যাকাউন্ট নির্মাণ সীমিত। সম্ভব যখন AD অ্যাকাউন্ট ব্যবহার করুন।

  • AD তে প্রশাসক অ্যাকাউন্টগুলি প্রমাণীকরণ করতে লিনাক্স কম্পিউটারের জন্য LDAP ব্যবহার করুন। এই কিছুটা অ্যাকাউন্ট ব্যবস্থাপনা সহজ করে। এবং যখন কোনও অ্যাডমিন কেবলমাত্র এক জায়গায় অক্ষম থাকে এবং কোনও অ্যাক্সেস না থাকে, তখন আপনি আপনার অবসর সময়ে লিনাক্স পার্শ্বটি পরিষ্কার করতে পারেন।

  • লিনাক্সে নির্দিষ্ট অ্যাডমিন অ্যাকাউন্টের জন্য / etc / sudoers ফাইলটি ব্যবহার করুন তারপর প্রশাসকদের রুট পাসওয়ার্ডের প্রয়োজন নেই। এটি আপনার দৃষ্টিতে ভাল হতে পারে কারণ তারপরে খুব কমই এটি রুট পাসওয়ার্ডের প্রয়োজন হবে যাতে এটি লক করা যায়। আপডেট করা হয়েছে

  • একটি পাসওয়ার্ডে রুট এবং স্থানীয় প্রশাসক পাসওয়ার্ড রাখুন নিরাপদ নয় সাধারণ জ্ঞান। কিছু পাসওয়ার্ড safes প্রতিনিধি এবং লগিং আছে তাই যদি আপনি ব্যক্তির এটি অ্যাক্সেস ছিল না এমনকি একটি পাসওয়ার্ড পুনরায় সেট করার প্রয়োজন হতে পারে না।

  • রুট এবং অ্যাডমিন অ্যাকাউন্টের জন্য স্বয়ংক্রিয় পাসওয়ার্ড পুনরায় সেট প্রক্রিয়া। লিনাক্স এবং উইন্ডোজ উভয়ই এটি করার জন্য স্ক্রিপ্ট করা যেতে পারে যাতে এটি আপনাকে কিছু সময় বাঁচাতে পারে এবং এটি একটি বোঝা খুব বেশি না করে।

আশা করি এইটি কাজ করবে.


10
2017-09-15 14:04



এলডিএপি নিয়ে আমার সমস্যা ব্যর্থতা এক বিন্দু। আমি বরং পুতুল মাধ্যমে অ্যাকাউন্ট পরিচালনা করতে চাই। এবং আপনার পরামর্শ প্রশংসা করি। ধন্যবাদ @ বার্নি! - Belmin Fernandez
@ বেইমিং যদি আপনি অ্যাক্টিভ ডিরেক্টরি ব্যবহার করেন তবে আপনার একাধিক ডোমেন কন্ট্রোলার (ব্যর্থতার একক পয়েন্ট) থাকতে পারে এবং তারপরে DNS ডোমেন নামটি নির্দেশ করুন। একটি এলডিএপি প্রশ্নের জন্য ডোমেইন ডোমেইন কন্ট্রোলার পেতে domain.com। অথবা যদি আপনি LDAP- এ ldap.domain.com মতই দুই বা তিনটি সাড়া দিতে চান তবে নির্দিষ্ট ডিসিগুলিতে নির্দেশ করার জন্য আপনি একটি একটি DNS রেকর্ড সেটআপ করতে পারেন। আমি পপেট ব্যবহার করি নি কিন্তু সহজ ব্যবহারকারী প্রশাসনের কী কোন একক উত্স নেই যেখানে সম্ভব। সম্ভবত এটি যে পপেটটি ব্যাক-এন্ড এলডিএপি সার্ভারের সাথে সংযোগ করতে পারে সেটি যদি আপনি পছন্দ করেন তবে তাও হতে পারে। - Bernie White
এদিকে এডি যেতে রাজি। 2+ ডোমেন কন্ট্রোলারগুলির সাথে, এডিটির সম্ভাবনা সম্পূর্ণরূপে হ্রাসপ্রাপ্ত, তবে এটি যদি থাকে তবে সম্ভবত আপনার কাছে অনেক বড় সমস্যা রয়েছে। আপনার সমস্ত লিনাক্স সার্ভারগুলিতে স্থানীয় রুট অ্যাকাউন্টগুলি যদি শেষ না হয় তবে শেষ অবলম্বন হিসাবে ব্যবহার করুন। - EEAA
@ বার্নি - আপনার তৃতীয় বিন্দু সম্পর্কিত। সুডো ব্যবহার করার সময়, কখনই রুট পাসওয়ার্ড জানতে হবে না। একটি sudo এন্ট্রিতে "NOPASSWD" নির্দিষ্ট করে ব্যবহারকারীর প্রবেশ করতে হবে না তাদের নিজস্ব পাসওয়ার্ড। এই রুট পাসওয়ার্ড দিয়ে কিছুই করার আছে। - EEAA
@ ইরাকা +1 খুব সত্য। NOPASSWD থেকে সরানো রেফারেন্স হিসাবে এটি প্রশ্নের উত্তর দিতে সাহায্য করে না / - Bernie White


আপনি চেষ্টা এবং দেখতে পারেন FreeIPA আপনার জন্য কাজ করে।

আপনি একটি কেন্দ্রীয় অবস্থান থেকে হোস্ট ব্যবহারকারী এক্সেস পরিচালনা করতে পারেন। অন্যদের দ্বারা প্রস্তাবিত, আপনি রুড লেভেল অ্যাক্সেসের জন্য sudo আপনার জন্য কাজ করে কিনা তা দেখতে পারেন। Freeipa LDAP এ sudoers সমর্থন করে, তাই আপনাকে প্রতিটি সার্ভারে বা পুতুল ইত্যাদির মাধ্যমে এটি বজায় রাখতে হবে না।

ফ্রিপা Linux, Solaris এবং উইন্ডোজ ক্লায়েন্টদের সমর্থন করে। আপনি কিছু নির্দিষ্ট বৈশিষ্ট্য হারাতে পারেন এবং উইন্ডোজ ক্লায়েন্টের অন্যান্য সীমাবদ্ধতাগুলি সম্পর্কে নিশ্চিত নই।

এটি প্রতিলিপি বৈশিষ্ট্য আছে, তাই আপনি একটি SPOF এড়াতে পারেন। ব্যাকএন্ডটি এলডিএপি হয়, তাই আপনি ব্যাকআপ স্ক্রিপ্টগুলির মতো LDAP এর জন্য লোকেদের যে সরঞ্জাম ব্যবহার করেন তা পুনরায় ব্যবহার করতে পারেন।

এটি হোস্ট ভিত্তিক অ্যাক্সেস নিয়ন্ত্রণকে সমর্থন করে, তাই আপনি বলতে পারেন "ব্যবহারকারী এক্স শুধুমাত্র Y সার্ভারে লগইন করতে পারে"।

এটা প্রস্তাব এডি সিঙ্ক্রোনাইজেশন। আমি একটি উইন্ডোজ ব্যক্তি নই, তাই আমি যে এমনকি মানে কোন ধারণা আছে।


2
2017-09-21 04:09





স্ট্যান্ডার্ড প্রশাসক অ্যাকাউন্ট ব্যবহার করবেন না। জিনিসগুলির উইন্ডোজ পাশে, প্রশাসক অ্যাক্সেসের প্রয়োজন এমন প্রত্যেক ব্যবহারকারীর জন্য একটি ব্যবহারকারী অ্যাকাউন্ট এবং প্রশাসক অ্যাকাউন্ট তৈরি করুন। আপনি UNIX এ সিঙ্ক করার জন্য যে কোনও সরঞ্জাম ব্যবহার করতে পারেন।

যদি কেউ ছেড়ে যায় তবে আপনাকে তাদের ব্যবহারকারী এবং প্রশাসক অ্যাকাউন্টগুলি মুছে ফেলতে হবে।

স্ট্যান্ডার্ড অ্যাডমিনিস্ট্রেটর অ্যাকাউন্টটি সুরক্ষিত করার জন্য, এটি সত্যিই দীর্ঘ এবং জটিল পাসওয়ার্ড দিন, তারপরে নিশ্চিত করুন যে কোন একজন ব্যক্তির অর্ধেক রয়েছে। যদি তাদের পুরো অ্যাকাউন্টটি ব্যবহার করতে হয় তবে তাদের অর্ধেকের সন্ধান করতে হবে।

যে সম্পর্কে আমি মনে করতে পারেন হিসাবে নিরাপদ সম্পর্কে।


1
2017-09-23 19:45