Управление пользователями

Проблемы управления пользователями и доступом заслуживают особого внимания. Как разобраться, кому из пользователей разрешен доступ к тем или иным блокам системы?

Существует несколько способов. Весьма популярны сетевые службы аутентификации и авторизации такие как LDAP. Чтобы представить пользователям и группам доступ к отдельным компьютерам или структурам хостов, администратор вносит изменения в одном месте, а коррекции разрешений и паролей распространяются автоматически. В то же время эти системы становятся еще одной службой, нуждающейся в наблюдении, обеспечении работоспособности и масштабировании в процессе развития инфраструктуры.

Система управления конфигурацией также может использоваться для установки учетных записей пользователей в зависимости от хостов или ролей. Для этого определяются службы, вносящие соответствующие изменения в базы данных системной аутентификации. Такое решение легко реализуется, если в системе уже существует механизм управления конфигурацией.

Однако может оказаться, что в системе изменения паролей, добавления и удаления разрешений не применяются ко всем серверам одновременно. Кроме того, если на хосте будет нарушено автоматическое обновление конфигурации, хост может вообще не получить последнюю конфигурацию доступа, что создает очевидные проблемы безопасности.

Оба варианта работоспособны. Какой из них лучше подойдет для вашей инфраструктуры? Это зависит от существующих систем аутентификации, количества пользователей и частоты внесения изменений. Если LDAP уже используется в вашей организации, такой выбор будет наиболее естественным. Если в системе работает малое количество пользователей, а изменения относительно редки, возможно, пакетная система более уместна.