人力検索はてな
モバイル版を表示しています。PC版はこちら
i-mobile

FreeBSD及びLinux 上のアカウントを一括管理できるものを探しています。
現在サーバーの数は500台弱、内95%がFreeBSD 残り5%がLinuxです。

■現状、一つの共通アカウントを10名程度の社員で共有して使っています。
問題点1:誰がいつログインしたか分からない。
個々のサーバーに社員分のアカウントを発行すれば良いのだろうけど、
社員が増えたときや、辞めたとき、500台のサーバーに変更を掛けるのは大変で、
ミスも増える、

■要件
?:500台のサーバーのユーザーアカウントを1台もしくは2台(バックアップ)で一括管理する。
?:誰がいつログイン、ログアウトしたか分かるようにしたい。
?:??を満たしていれば商用ソフトでも構わない。

■補足
・要件?だけならLDAPで出来そうだが、ログイン、ログアウトのログが取れるか?
・理想は FreeRadius で一括管理できれば ログイン、ログアウトのログも取れるので幸せ、
しかし「OSのアカウント認証をradiusを参照」なんてものを見たことがない。

以上宜しくお願いします。

●質問者: kissy2323
●カテゴリ:コンピュータ ウェブ制作
✍キーワード:FreeBSD LDAP Linux OS RADIUS
○ 状態 :終了
└ 回答数 : 3/3件

▽最新の回答へ

1 ● JULY
●23ポイント

実際にやったことがある訳じゃないので、具体的な設定方法などは分かりませんが、原理的には PAM で出来ると思います。

PAMを利用して認証を行う

よほど古いバージョンじゃない限り、FreeBSD も Linux も PAM に対応していると思います。で、PAM 経由でバックエンド側の認証機構を LDAP にしてやれば、LDAP サーバにアカウント情報をまとめる事が可能なはずです。

PAM のバックエンドとなるものはいろいろあって、RADIUS もあるようです。

On-line Manual of "pam_radius"

◎質問者からの返答

恐らく、pam_radius は Radiusの認証をPAMで行うもので、

PAMの認証をRadiusで行うものではないと思います。


2 ● amalfi-0219
●35ポイント

一昔はNISを用いて複数サーバの認証を統合していましたが

最近ならばLDAPで構築するのが簡単&確実かと思います。

つまり、?で問題なく管理することができます。

下記URLではPAMを使った認証を例にしていますが、

これならばPAM側でアクセスログが取れますので

ご希望に沿った内容で対応できるかと思います。

http://www.atmarkit.co.jp/flinux/rensai/openldap03/openldap03c.h...

◎質問者からの返答

やはり、無難にLDAPでしょうか?

こうなると各サーバーにユーザーを追加するのは必須ってことですよね?

> これならばPAM側でアクセスログが取れますので

確かにPAMでログを取れば,syslogサーバーに転送できて、ログを一元管理できそうですね、


3 ● amalfi-0219
●22ポイント

追加のご質問に対してインラインにてご回答いたします。


> やはり、無難にLDAPでしょうか?

LDAPの場合、書籍も多いため情報の入手が

容易だというのもメリットの1つだと思います。


> こうなると各サーバーにユーザーを追加するのは必須ってことですよね?

いえ、各サーバにユーザ情報を持つとアカウントの一元管理になりませんので

各サーバに設定するのはPAM認証とLDAPの関連付けだけです。

ユーザ情報はLDAPサーバにて登録・管理することになります。

イメージ的にはLDAPサーバ(認証サーバ)にAというユーザ情報を追加すれば

500台全てのサーバでAユーザでログインできるようになる・・・という感じです。

http://www.syns.net/15/index.html

◎質問者からの返答

なるほど、なんだか頑張れそうな気がしてきました。

とりあえずLDAPで構築してみます。

関連質問


●質問をもっと探す●



0.人力検索はてなトップ
8.このページを友達に紹介
9.このページの先頭へ
対応機種一覧
お問い合わせ
ヘルプ/お知らせ
ログイン
無料ユーザー登録
はてなトップ