将几台台式机从/etc/passwd移动到LDAP

Question

我知道，迁移到LDAP并不是什么新问题。我已经搜索了相当多的信息，但我发现的问题是，信息似乎在这个主题上相当零散。所以我希望有经验的人能指引我走向正确的方向。

现状：

• 小型企业，用户和台式机不断增长
• 大约10台Fedora-20台台式计算机/3台Fedora-20台服务器
• 1语法NAS DS1813+
• 大约10个用户
• 所有登录在桌面上都是本地的。
• 用户在计算机网络中没有相同的UID和GID。

显然，使用集中的用户目录(如LDAP )变得越来越有吸引力。

问题

不幸的是，我无法找到可靠和完整的指南，涵盖整个过程的现实生活场景。

• 设置服务器并配置客户端:好的，据我所读，不是最精简的过程，但即使有点棘手，我相信这是可行的。
• 迁移所有的用户，从所有的机器:这里是“微妙”的部分。显然，我不想冒任何信息损失的风险。同样，我也找到了一些关于迁移和MigrationTools的指南，但是没有一个这样的来源给我一个值得信赖的向导的感觉。典型场景:有一个wiki页面或者什么东西，上面有说明和大量评论，抱怨程序在某个时候失败了。提出的问题往往远远超过所给出的答案。这怎么能让我觉得我能安全地开始这个过程呢？

一些具体问题：

• 在这种迁移过程中，是否有一套最新的最佳实践/建议工具值得考虑？特别是关注现实生活中的情景？应遵循哪些操作顺序，注意什么，如何将数据丢失的风险降到最低，如何将用户的停机时间降到最低等？
• 假设用户'roberto‘存在于两台机器上(具有不同的ID)。通过将/etc/passwd信息从这两台机器迁移到LDAP，它们是否在过程中“合并”？如果没有，应该做些什么？
• 迁移可以分步骤进行，只有一个用户可以开始迁移吗？是明智的吗？
• 另一个(也许很天真？)我可以想到的方法是:创建新的LDAP用户，然后将所有文件的所有权从旧的本地用户更改为这些新用户，然后删除旧的本地用户。这有意义吗？以前有过经验吗？
• LDAP与ACL的关系如何？他们在一起很好吗？
• 下面的步骤是将用户的主目录集中到NFS上的共享空间。任何指向以下步骤的指针都是受欢迎的，特别是如果链接到LDAP的迁移。

Answer 1

对学习材料和教程的要求是离题。

应遵循哪些操作顺序，注意什么，如何将数据丢失的风险降到最低，如何将用户的停机时间降到最低等？

首先，决定您的需求和范围。把它们写下来，并让他们审阅。

除了LDAP之外，还可以考虑设置Kerberos。单点登录的可能性对最终用户来说往往是一个真正的商业利益，同时也使他们更愿意忍受迁移过程中的中断。终端用户通常不关心总体上的变化，而且很明显，在认为只对系统管理员的生活有益的操作改进中看不到立即的好处。

FreeIPA在那里提供了一个集成的方法。

清点现有的passwd和组文件以及sudo配置。不要忽略当前受用户名/密码保护的其他服务，这些服务可能从与中心用户目录(和SSO)的集成中受益，例如web服务器上的安全目录等。

测试您的方法、脚本等，进行备份并测试恢复它们。SSSD似乎是将工作站和服务器配置为相对轻松地与目录(和FreeIPA)集成的方法。

在工作站上安装中央主目录通常是个好主意，特别是与自动挂载器(autofs)相结合。在服务器上做同样的事情(也可以按需使用auto)似乎会引起更多的讨论。如果你确实走了这条路，那么仔细想想，如果你或者你的用户应该是合并他们的人。

dataloss的风险相对较小，但您确实定期进行备份和测试恢复，对吗？

假设用户'roberto‘存在于两台机器上(具有不同的ID)。通过将/etc/passwd信息从这两台机器迁移到LDAP，它们是否在过程中“合并”？如果没有，应该做些什么？

不，它们不会自动合并，因为用户帐户只能有一个UID号，而且每个用户名也必须是唯一的。由于文件所有权是由UID编号上的文件系统存储的，因此放弃一个UID将导致所有者失去对这些文件的权限。您将需要从原始用户更改为所有者，以匹配您为同一个真实用户所决定的最终UID号。例如，一些类似于不同真实用户的find -owner old-UID -exec chown new-UID '{}' \;重复用户名会导致他们中的一个人使用一个新的用户名，或者你们两个都相信要分担痛苦。

对于主组用户也是如此。

迁移可以分步骤进行，只有一个用户可以开始迁移吗？是明智的吗？

身份验证方法主要是针对每个系统而不是根据用户定义的，逐主机迁移比每个用户迁移更有意义。如果每个用户都有自己的工作站，您可以从这些工作站开始，每次一个，因为任何问题都会限制对单个用户的影响。一旦所有用户都在目录中，那么做服务器就相对容易了。

下面的步骤是将用户的主目录集中到某个网络空间(NFS或iSCSI)。任何指向以下步骤的指针都是受欢迎的，特别是如果链接到LDAP的迁移。

对于集中式主目录来说，文件共享要比块设备好得多，所以肯定会选择NFS。利用NFSv4，解决了经典NFS中的许多问题，并与Kerberos相结合，大大提高了安全性。

在工作站上转换身份验证可以与转移到集中式主目录同时进行。

Answer 2

至于您想要的系统，您可以选择自由IPA，因为如果将来有人实现了Active Directory框，那么链接起来就很容易了。

至于移民..。好吧，至少你说的是小规模的，所以“网络的蚀刻草图端”是一种选择。

数独的权利，很明显，这是至关重要的，与少量的机器，任何acl的东西应该是足够容易处理，尽管。

显然，在LDAP和本地中不能有同名的用户，所以我首先将您的服务器安装在目录中，然后转移到桌面上。