Kami adalah toko yang relatif kecil (sejauh jumlah sysadmin) dengan campuran server RHEL, Solaris, Windows 2003 dan Windows 2008; sekitar 200 server semuanya.
Untuk akun administrator kami ( root
di Linux dan admnistrator
Windows), kami memiliki skema kata sandi yang tergantung pada lokasi pusat data dan beberapa properti server lainnya yang terdokumentasi.
Pada Linux, praktik kami saat ini adalah untuk menciptakan sebuah shared account non-hak istimewa di mana kita bisa su
untuk root
. Pada sistem berbasis Windows, kami membuat akun tambahan dengan hak administrator. Kedua akun ini memiliki kata sandi yang sama.
Ini terbukti sangat tidak efisien. Ketika seseorang meninggalkan toko kami, kami harus:
- Ubah skema kata sandi untuk akun administrator
- Hasilkan kata sandi administrator baru untuk setiap server
- Munculkan kata sandi akun non-administrator yang baru
- Sentuh setiap server dan ubah kata sandi
Saya ingin tahu apakah ada orang di lingkungan yang sama yang dapat menyarankan cara yang lebih waras untuk mengelola kredensial ini. Beberapa informasi yang relevan:
- Meskipun sebagian besar server kami adalah bagian dari domain AD kami, tidak semuanya.
- Kami mengelola semua server Linux kami dengan Puppet (otentikasi kunci adalah pilihan yang saya pikirkan tetapi hanya akan mengatasi masalah # 3 dari atas).
- Kami menyediakan Linux severs dengan Cobbler.
- Sekitar 10% dari perangkat keras kami didedikasikan untuk VMWare. Dalam kasus tersebut, kami menggunakan template VMWare untuk server build.
Setiap ide atau saran akan sangat dihargai. Ini adalah masalah yang telah bertahan lama dan akhirnya saya ingin mengatasinya.