FreeBSD及びLinux 上のアカウントを一括管理できるものを探しています。

現在サーバーの数は500台弱、内95%がFreeBSD 残り5%がLinuxです。

■現状、一つの共通アカウントを10名程度の社員で共有して使っています。
 問題点1:誰がいつログインしたか分からない。
   個々のサーバーに社員分のアカウントを発行すれば良いのだろうけど、
   社員が増えたときや、辞めたとき、500台のサーバーに変更を掛けるのは大変で、
   ミスも増える、

■要件
①:500台のサーバーのユーザーアカウントを1台もしくは2台(バックアップ)で一括管理する。
②:誰がいつログイン、ログアウトしたか分かるようにしたい。
③:①②を満たしていれば商用ソフトでも構わない。

■補足
・要件①だけならLDAPで出来そうだが、ログイン、ログアウトのログが取れるか?
・理想は FreeRadius で一括管理できれば ログイン、ログアウトのログも取れるので幸せ、
 しかし「OSのアカウント認証をradiusを参照」なんてものを見たことがない。

以上宜しくお願いします。

回答の条件
  • 1人5回まで
  • 登録:2009/03/13 16:51:07
  • 終了:2009/03/20 16:55:02

回答(3件)

id:JULY No.1

JULY回答回数966ベストアンサー獲得回数2472009/03/13 17:50:57

ポイント23pt

実際にやったことがある訳じゃないので、具体的な設定方法などは分かりませんが、原理的には PAM で出来ると思います。

PAMを利用して認証を行う

よほど古いバージョンじゃない限り、FreeBSD も Linux も PAM に対応していると思います。で、PAM 経由でバックエンド側の認証機構を LDAP にしてやれば、LDAP サーバにアカウント情報をまとめる事が可能なはずです。

PAM のバックエンドとなるものはいろいろあって、RADIUS もあるようです。

On-line Manual of "pam_radius"

id:kissy2323

恐らく、pam_radius は Radiusの認証をPAMで行うもので、

PAMの認証をRadiusで行うものではないと思います。

2009/03/16 12:45:55
id:amalfi-0219 No.2

amalfi-0219回答回数40ベストアンサー獲得回数52009/03/14 21:56:19

ポイント35pt

一昔はNISを用いて複数サーバの認証を統合していましたが

最近ならばLDAPで構築するのが簡単&確実かと思います。

つまり、①で問題なく管理することができます。

下記URLではPAMを使った認証を例にしていますが、

これならばPAM側でアクセスログが取れますので

ご希望に沿った内容で対応できるかと思います。

http://www.atmarkit.co.jp/flinux/rensai/openldap03/openldap03c.h...

id:kissy2323

やはり、無難にLDAPでしょうか?

こうなると各サーバーにユーザーを追加するのは必須ってことですよね?

> これならばPAM側でアクセスログが取れますので

確かにPAMでログを取れば,syslogサーバーに転送できて、ログを一元管理できそうですね、

2009/03/16 12:42:14
id:amalfi-0219 No.3

amalfi-0219回答回数40ベストアンサー獲得回数52009/03/16 13:13:29

ポイント22pt

追加のご質問に対してインラインにてご回答いたします。


> やはり、無難にLDAPでしょうか?

LDAPの場合、書籍も多いため情報の入手が

容易だというのもメリットの1つだと思います。


> こうなると各サーバーにユーザーを追加するのは必須ってことですよね?

いえ、各サーバにユーザ情報を持つとアカウントの一元管理になりませんので

各サーバに設定するのはPAM認証とLDAPの関連付けだけです。

ユーザ情報はLDAPサーバにて登録・管理することになります。

イメージ的にはLDAPサーバ(認証サーバ)にAというユーザ情報を追加すれば

500台全てのサーバでAユーザでログインできるようになる・・・という感じです。

http://www.syns.net/15/index.html

id:kissy2323

なるほど、なんだか頑張れそうな気がしてきました。

とりあえずLDAPで構築してみます。

2009/03/16 13:53:08

コメントはまだありません

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

絞り込み :
はてなココの「ともだち」を表示します。
回答リクエストを送信したユーザーはいません