現在サーバーの数は500台弱、内95%がFreeBSD 残り5%がLinuxです。
■現状、一つの共通アカウントを10名程度の社員で共有して使っています。
問題点1:誰がいつログインしたか分からない。
個々のサーバーに社員分のアカウントを発行すれば良いのだろうけど、
社員が増えたときや、辞めたとき、500台のサーバーに変更を掛けるのは大変で、
ミスも増える、
■要件
①:500台のサーバーのユーザーアカウントを1台もしくは2台(バックアップ)で一括管理する。
②:誰がいつログイン、ログアウトしたか分かるようにしたい。
③:①②を満たしていれば商用ソフトでも構わない。
■補足
・要件①だけならLDAPで出来そうだが、ログイン、ログアウトのログが取れるか?
・理想は FreeRadius で一括管理できれば ログイン、ログアウトのログも取れるので幸せ、
しかし「OSのアカウント認証をradiusを参照」なんてものを見たことがない。
以上宜しくお願いします。
実際にやったことがある訳じゃないので、具体的な設定方法などは分かりませんが、原理的には PAM で出来ると思います。
よほど古いバージョンじゃない限り、FreeBSD も Linux も PAM に対応していると思います。で、PAM 経由でバックエンド側の認証機構を LDAP にしてやれば、LDAP サーバにアカウント情報をまとめる事が可能なはずです。
PAM のバックエンドとなるものはいろいろあって、RADIUS もあるようです。
一昔はNISを用いて複数サーバの認証を統合していましたが
最近ならばLDAPで構築するのが簡単&確実かと思います。
つまり、①で問題なく管理することができます。
下記URLではPAMを使った認証を例にしていますが、
これならばPAM側でアクセスログが取れますので
ご希望に沿った内容で対応できるかと思います。
↓
http://www.atmarkit.co.jp/flinux/rensai/openldap03/openldap03c.h...
やはり、無難にLDAPでしょうか?
こうなると各サーバーにユーザーを追加するのは必須ってことですよね?
> これならばPAM側でアクセスログが取れますので
確かにPAMでログを取れば,syslogサーバーに転送できて、ログを一元管理できそうですね、
追加のご質問に対してインラインにてご回答いたします。
> やはり、無難にLDAPでしょうか?
LDAPの場合、書籍も多いため情報の入手が
容易だというのもメリットの1つだと思います。
> こうなると各サーバーにユーザーを追加するのは必須ってことですよね?
いえ、各サーバにユーザ情報を持つとアカウントの一元管理になりませんので
各サーバに設定するのはPAM認証とLDAPの関連付けだけです。
ユーザ情報はLDAPサーバにて登録・管理することになります。
イメージ的にはLDAPサーバ(認証サーバ)にAというユーザ情報を追加すれば
500台全てのサーバでAユーザでログインできるようになる・・・という感じです。
なるほど、なんだか頑張れそうな気がしてきました。
とりあえずLDAPで構築してみます。
恐らく、pam_radius は Radiusの認証をPAMで行うもので、
PAMの認証をRadiusで行うものではないと思います。