En esta página, el módulo de Webmin para administrar usuarios y grupos en múltiples sistemas se explica
Contenido
El módulo de usuarios y grupos del clúster
Antes de leer este capítulo, debe familiarizarse con las capacidades de administración de clústeres de Webmin, explicadas en la introducción a Paquetes de software de clúster. Todos los módulos relacionados con el clúster (este, Cluster Software Packages y Cluster Webmin Configuration) hacen uso del módulo Webmin Servers Index y RPC para controlar otros sistemas. También debe leer el capítulo 4 que cubre el módulo Usuarios y grupos, ya que muchos de los formularios y páginas en el Grupo de usuarios y grupos módulo son similares a ese.
Este módulo le permite administrar usuarios y grupos de Unix solo en múltiples sistemas desde una sola interfaz. Si tiene una gran cantidad de hosts en su red y desea que las personas puedan iniciar sesión en todos ellos, se necesita algún mecanismo para crear cuentas Unix en cada sistema. Usar este módulo es mucho más fácil que crear manualmente una cuenta en cada sistema.
Existe un método ampliamente disponible y más comúnmente utilizado para administrar usuarios, grupos y otros servicios en varias máquinas a través de NIS, cubierto en NIS Client and Server. Los sistemas de cliente NIS solicitan información a un servidor maestro y leen sus archivos /etc/passwd y /etc/group, lo que hace que las cuentas estén disponibles en todos los clientes. NIS funciona bien y se configura fácilmente desde Webmin, pero tiene algunas desventajas. Si el servidor maestro falla o la red falla, los sistemas cliente no podrán buscar la información del usuario, lo que provocará que los inicios de sesión y muchos programas se cuelguen. Y debido a que los clientes deben consultar con frecuencia al servidor, no funciona tan bien en una red lenta.
Este módulo de Webmin, por otro lado, actualiza los archivos en cada sistema cliente para que los usuarios y grupos permanezcan sincronizados. El sistema operativo del cliente no necesita hacer nada especial para hacer uso de los usuarios administrados centralmente; para él, aparecen como otros usuarios. Sin embargo, esto significa que puede ocurrir una pérdida de sincronización si un usuario se modifica directamente en un sistema cliente en lugar de a través del servidor maestro.
Otra característica útil de este módulo de la que carece NIS es su capacidad para crear directorios de inicio en servidores administrados. Esto puede ser útil si sus sistemas no comparten directorios de inicio comunes a través de NFS, lo que puede resultar poco práctico en una red de área amplia. El módulo también puede configurar usuarios en el archivo de contraseñas de Samba o un archivo de autenticación de proxy en servidores administrados, al igual que el módulo normal de Usuarios y Grupos puede hacerlo localmente. Esto es muy útil si su organización tiene varios servidores Samba, cada uno con su propia lista de contraseñas (aunque Samba se puede configurar para consultar las contraseñas de un servidor central).
El módulo Usuarios y grupos del clúster requiere que todos los sistemas administrados tengan los mismos formatos de archivo de usuario. Desafortunadamente, algunas variantes de Unix usan solo un archivo /etc/passwd, algunas también usan un archivo /etc/shadow y algunos sistemas BSD usan el archivo /etc/master.passwd para almacenar usuarios. Cada uno de estos formatos diferentes almacena información diferente sobre los usuarios, que el módulo no puede manejar. El resultado es que un clúster no puede contener sistemas Linux y FreeBSD, o cajas Solaris y AIX, ya que utilizan formatos diferentes. Sin embargo, una red de hosts Linux y Solaris podría administrarse de forma centralizada porque ambos sistemas operativos utilizan los archivos /etc/passwd y /etc/shadow, que es el formato más común.
Al igual que el módulo Paquetes de software de clúster (tratado en el capítulo 48), este almacena listas de usuarios y grupos en cada host administrado en el sistema maestro. Esto acelera la búsqueda y la edición, pero presenta la posibilidad de que la información del maestro no esté sincronizada con las listas reales de usuarios y grupos en los hosts administrados. Esto puede suceder si se agrega, elimina o modifica un usuario directamente en uno de los hosts en lugar de a través de este módulo. Afortunadamente, es fácil volver a sincronizar si esto sucede (usando el botón *Actualizar listas de usuarios y grupos*). La actualización también ocurre automáticamente cada vez que se agrega, elimina o actualiza un usuario en un servidor administrado.
El módulo se puede encontrar en Webmin en la categoría Clúster. Al hacer clic en su icono, se mostrará una página como la que se muestra en la siguiente captura de pantalla. En la parte superior hay íconos para todos los servidores administrados y debajo de ellos campos y botones para buscar y agregar usuarios y grupos. Sin embargo, estos campos solo aparecerán si se ha registrado al menos un servidor.
El módulo de Usuarios y Grupos del Clúster
Registrar un servidor
Antes de que este módulo pueda usarse para administrar usuarios y grupos, ese sistema debe agregarse a su lista de servidores. Para hacer esto, siga estos pasos :
- Utilice el módulo Índice de servidores de Webmin para agregar el sistema remoto y asegúrese de proporcionar un nombre de usuario y una contraseña. Sin embargo, esto no tiene que hacerse si desea administrar el servidor maestro.
- En este módulo, seleccione el sistema del menú junto al botón *Agregar servidor* y luego haga clic en él. El menú normalmente incluirá la entrada especial este servidor , que es el sistema maestro. Sin embargo, nunca incluirá ningún servidor que ya se haya agregado. Alternativamente, puede seleccionar un grupo completo de servidores desde el menú junto a Agregar servidores en grupo . Los grupos también se pueden definir en el módulo Índice de servidores de Webmin.
- Aparecerá una página que muestra todos los hosts agregados y la cantidad de usuarios y grupos en cada uno. Si no se puede contactar a un host o falla el inicio de sesión de RPC, aparecerá un mensaje de error que explica qué salió mal para ese host.
- Vuelva a la página principal del módulo, en la que ahora debería aparecer un nuevo icono para cada host.
Crear un nuevo usuario
El formulario para agregar un usuario de Unix a varios sistemas es casi idéntico al del módulo Usuarios y grupos para agregar un usuario localmente. Si está familiarizado con ese módulo, usar este debería ser muy fácil. Simplemente siga los pasos a continuación:
- En la página principal del módulo, haga clic en Agregar usuario botón en la mitad inferior de la página.
- Complete el formulario de creación de usuarios que aparece tal como lo haría al crear un usuario local. El identificador de usuario se establecerá de forma predeterminada en una ID que no está en uso en ningún sistema, por lo que no debería ser necesario cambiarla.
- El único campo con el que hay que tener cuidado es Grupo principal , ya que el ID de grupo para el nombre de grupo ingresado se buscará en el sistema maestro. El mismo grupo con la misma ID también debe existir en todos los hosts administrados.
- El grupo secundario La lista incluye grupos de todos los sistemas. Si selecciona uno que solo existe en algunos hosts, el usuario solo se agregará a ese grupo para los hosts en los que existe.
- Cerca del final hay un campo etiquetado como Hacer operaciones de archivo anteriores en que determina si la creación del directorio de inicio y la copia de archivos se realizan en un solo host del clúster o en todos ellos. Si sus sistemas administrados comparten directorios de inicio a través de NFS, debe seleccionar Un servidor para que solo se cree una vez. De lo contrario, elija Todos los servidores para que en cada uno de ellos se cree el directorio del usuario.
- Si Crear usuario en otros módulos está establecido en Sí , el usuario se agregará al archivo de contraseñas de Samba, a la lista de usuarios de Squid, etc. para cada sistema.
- Presiona Crear para ir a una página que muestra lo que se hizo en cada host administrado, siempre que no haya errores en el formulario. Si por algún motivo no se puede contactar o iniciar sesión con un host, aparecerá un mensaje de error para ese host en su lugar, pero todo el resto se actualizará.
Este proceso no se puede usar para agregar un usuario que ya existe en algunos de los hosts, ya que se mostrará un mensaje de error a tal efecto cuando presione Crear . En su lugar, debe usar la función de sincronización del módulo, cubierta en Sincronización de usuarios y grupos sección, que puede copiar detalles de usuario de un host a otros.
Editar un usuario existente
Editar un usuario en varios servidores es un poco más complejo que agregar uno, ya que puede controlar exactamente qué atributos del usuario se cambiarán. Esto es necesario porque es posible que el usuario no tenga los mismos detalles en cada uno de los sistemas administrados, y es posible que desee establecer algún atributo (como el nombre real) y dejar intacto otro que difiere en varios sistemas (como el shell).
Por esta razón, el formulario de edición de usuarios, que se muestra en la Figura 49-2, es similar al formulario del módulo Usuarios y grupos, pero tiene un No cambiar adicional. opción para cada campo. El valor actual de ese atributo del host que se muestra en la parte superior de la página se muestra para que tenga una idea de cómo está configurado, al menos en un sistema.
Con esto en mente, puede editar un usuario siguiendo estos pasos:
- Desplácese hacia abajo hasta Buscar usuarios cuyos formulario en la página principal, que se utiliza para buscar usuarios para editar.
- Si conoce el nombre del usuario, simplemente seleccione Nombre de usuario del primer menú, igual del segundo e ingrese el nombre en el tercer cuadro de texto. Presionando Buscar mostrará el formulario de edición del usuario, asumiendo que existe. De lo contrario, el formulario se puede utilizar para encontrar usuarios que coincidan con algunos criterios. Seleccione el atributo para buscar en el primer menú, el tipo de búsqueda para realizar en el segundo e ingrese algún texto o expresión regular estilo Perl en el campo de texto. Presionando Buscar lo llevará a una página que enumera todos los usuarios que coinciden, y al hacer clic en uno, aparecerá su formulario de edición.
- Una vez que llegue a la página de edición, elija Establecer en opción para cada uno de los campos que desea cambiar e ingresar o seleccionar esto hará que se cambie el nombre del usuario en todos los servidores administrados.
- Debido a que el usuario puede ser miembro de diferentes grupos secundarios en diferentes sistemas, el campo *Grupos secundarios *para elegir a qué pertenece es más complejo que en el módulo Usuarios y grupos. Para dejar su membresía secundaria sin cambios, seleccione No cambiar . Para agregarlo a uno o más grupos en los sistemas que los tienen, seleccione Agregar a grupos y rellene el campo de texto junto a él. Para eliminarlo de los grupos en los sistemas de los que es miembro, seleccione Eliminar de los grupos e ingrese los nombres de esos grupos en su campo de texto.
- En Al guardar sección Hacer las operaciones de archivo anteriores El campo determina si el cambio de nombre del directorio de inicio o los cambios de UID de archivo se realizan en un solo host del clúster o en todos ellos. Debe seleccionar Un servidor si sus sistemas usan NFS para compartir directorios de inicio, o Todos los servidores si no lo hacen.
- Si Modificar usuario en otros módulos está establecido en Sí , el usuario se actualizará en el archivo de contraseñas de Samba, la lista de usuarios de Squid, etc. para cada sistema administrado. Esto no es necesario y es una pérdida de tiempo si el usuario nunca se agregó a otros módulos cuando se creó en primer lugar.
- Para continuar con las modificaciones al usuario que ha seleccionado, haga clic en Guardar botón en la parte inferior del formulario. Se mostrará una página que enumera todos los hosts en los que existe el usuario y las acciones realizadas. También se mostrarán los errores encontrados al conectarse a un host en particular, junto con los problemas encontrados al actualizar el usuario (como que ya no existe en el host). Sin embargo, una falla al actualizar un host no tendrá ningún efecto en los demás.
El formulario de edición del usuario
En la parte inferior del formulario de edición de usuarios hay una lista de iconos, uno para cada uno de los sistemas en los que existe el usuario. Puede hacer clic en uno de ellos para que aparezca la página del servidor cubierta en la sección "Agregar y eliminar un servidor".
Eliminar un usuario
Eliminar un usuario de múltiples sistemas es comparativamente fácil. Al igual que con el módulo de Usuarios y Grupos, debe tener cuidado al eliminar un usuario, ya que también se eliminará su directorio de inicio y todo lo que contiene. Los pasos para eliminar un usuario son:
- Primero abra el formulario de edición para el usuario del que desea deshacerse, como se explica en Editar un usuario existente sección.
- Haga clic en Eliminar en la esquina inferior derecha de la página para ir a una página de confirmación.
- Si se utiliza NFS para compartir directorios principales entre todos sus sistemas, seleccione Un servidor para el campo *Eliminar directorio de inicio si existe en*. De lo contrario, elija Todos los servidores para forzar la eliminación del directorio en cada sistema.
- Para eliminar al usuario del archivo de contraseñas de Samba, eliminar su archivo de correo, eliminar sus trabajos Cron, etc. para cada servidor, seleccione Sí en el Eliminar usuario en otros módulos campo.
- Si desea conservar el directorio de inicio del usuario, haga clic en Eliminar usuario . Para eliminarlo junto con la cuenta, haga clic en Eliminar usuario y directorio principal en cambio. De cualquier manera, se mostrará una página que enumera cada servidor en el que se encuentra el usuario, las tareas realizadas en cada uno y los errores encontrados.
Crear un nuevo grupo
El proceso para agregar un grupo a todos sus servidores administrados es idéntico al de agregar un grupo localmente en el módulo Usuarios y grupos. Solo sigue estos sencillos pasos:
- En la página principal del módulo, haga clic en Agregar grupo botón.
- Complete el formulario de creación que aparece tal como lo haría en el módulo Usuarios y grupos. La única diferencia es que los Miembros El campo puede contener usuarios de cualquiera de los sistemas gestionados. El identificador del grupo se establecerá automáticamente en una ID que no esté en uso en ningún sistema.
- Presiona Crear botón para agregar el grupo. Se mostrará una página que muestra el progreso del módulo a medida que actualiza cada servidor administrado y cualquier problema encontrado. Si no se agrega el grupo a algún sistema, no afectará al resto.
Una vez que se ha creado el grupo, puede crear o editar usuarios para convertirlos en miembros principales. Esto solo debe hacerse para grupos que son idénticos en todos los sistemas administrados, como los creados siguiendo los pasos anteriores.
Editar un grupo existente
Editar un grupo es similar a editar un usuario, ya que puede elegir qué atributos del grupo cambiar. El formulario de edición de grupos es similar al del módulo Usuarios y grupos, pero tiene No cambiar adicionales. y Establecer en opciones para cada campo. La siguiente captura de pantalla muestra un ejemplo.
Los pasos a seguir para cambiar los datos de un grupo son:
- Si conoce el nombre exacto del grupo, simplemente ingréselo en el campo de texto en Buscar grupos cuyos formulario en la página principal del módulo y presione Buscar botón. De lo contrario, se puede encontrar un grupo seleccionando un atributo para buscar y un tipo de coincidencia en ese mismo formulario, tal como puede hacerlo cuando busca usuarios. La sección *Editar un grupo existente* anteriormente en el capítulo explica más.
- En la página de edición del grupo, seleccione Establecer en para cualquier campo que desee cambiar. Junto a No cambiar La opción para cada uno será el valor actual, tomado del sistema que se muestra en la parte superior de la página.
- Los miembros El campo es diferente al del formulario de edición de grupos en el módulo Usuarios y grupos, porque los miembros de un grupo pueden diferir en diferentes sistemas en su clúster. Puede seleccionar No cambiar para dejar la membresía en paz, Agregar usuarios para agregar los usuarios ingresados en el campo de texto adyacente (si existen en cada sistema), o Eliminar usuarios para eliminar los usuarios especificados (si son miembros de cada sistema).
- Al igual que cuando se edita un usuario, Hacer las operaciones de archivo anteriores en El campo determina si los cambios de ID de grupo necesarios en los archivos se realizan solo en un sistema administrado o en todos ellos. Si todos sus hosts tienen directorios de inicio separados que no se comparten con NFS, o si se seleccionó Todos los archivos para ¿Cambiar ID de grupo en archivos? campo, debe elegir Todos los servidores . De lo contrario, quédese con Un servidor . Por supuesto, la elección es irrelevante si no se cambia el ID de grupo.
- Presiona Guardar botón para comenzar el proceso de actualización del grupo. Se mostrará una página que muestra las tareas realizadas en cada sistema en el que existe el grupo. Si ocurre algún tipo de error, se mostrará bajo el nombre del sistema afectado, pero no evitará que el grupo se actualice en otros hosts.
El formulario de edición de grupo
En la parte inferior de la página de edición de grupos hay una lista de iconos para los sistemas en los que existe este grupo, al igual que en la página de edición de usuarios. Al hacer clic en uno, accederá al formulario de host cubierto en la Listado y eliminación de un servidor sección.
Eliminar un grupo
Eliminar un grupo es más seguro que eliminar un usuario, ya que no se eliminan archivos. El módulo incluso evitará que elimine un grupo si tiene miembros principales en cualquier sistema, tal como lo hace el módulo normal de Usuarios y Grupos para su sistema local. Los pasos para eliminar un grupo son :
- Use la función Buscar grupos cuyos en la página principal del módulo para llegar a la página de edición de grupos, como se explica en la sección *Editar un grupo existente*.
- Haga clic en Eliminar botón debajo del formulario. Mientras no existan miembros principales, se mostrará una página de confirmación que le preguntará si realmente desea eliminar el grupo.
- Presiona Eliminar grupo botón para seguir adelante. Como de costumbre, se mostrará el progreso de la eliminación y los errores encontrados en cada host en el que existe el grupo.
Actualización de listas de usuarios y grupos
Si se agregan o modifican usuarios o grupos de alguna manera en uno de los servidores administrados sin usar este módulo, sus listas almacenadas en caché ya no serán precisas. Esto puede hacer que el módulo intente modificar o eliminar usuarios que ya no existen, o crear un usuario en un sistema en el que ya existe. Afortunadamente, los cachés se pueden volver a sincronizar de la siguiente manera:
- Haga clic en Actualizar listas de usuarios y grupos en la parte inferior de la página principal del módulo.
- Se mostrará una página con una lista de todos los sistemas administrados por el módulo, junto con la cantidad de usuarios y grupos agregados o eliminados de cada uno que no están en el caché local. Si por alguna razón un host no puede ser
contactado, se mostrará un mensaje de error, pero esto no afectará la actualización de los otros sistemas.
Sincronización de usuarios y grupos
La sincronización es posiblemente la característica más poderosa del módulo, pero también una de las más difíciles de usar. Se puede usar para crear usuarios o grupos que existen en un solo sistema en todos los demás sistemas de su clúster. Esto es útil si ciertos usuarios se crearon fuera de este módulo en un solo host y desea que ahora estén disponibles en todos los hosts. También es útil si se agrega un nuevo host al clúster y desea asignarle todos los usuarios y grupos que tienen los otros sistemas.
Sin embargo, la sincronización puede tener efectos inesperados y posiblemente dañinos si la usa incorrectamente. Por ejemplo, simplemente sincronizar todos los usuarios en todos los hosts sería una mala idea, ya que podría desencadenar la creación de usuarios del sistema como uucp y squid en hosts que no los tienen. Por esta razón, debe hacer uso de la opción ¿Solo mostrar lo que se haría? campo para ver qué hará el módulo con sus selecciones de sincronización antes de aplicarlas de verdad.
La función de sincronización solo creará nuevos usuarios y grupos, no actualizará los detalles de los que ya existen. Tampoco eliminará usuarios o grupos; en cambio, asume que una discrepancia entre los usuarios que existen en un sistema y los que existen en otro indica que es necesario crear usuarios. Sin embargo, las otras funciones del módulo para editar y eliminar usuarios se pueden usar para actualizar usuarios en algunos sistemas para que coincidan con otros, o eliminar usuarios que solo existen en algunos sistemas.
Para crear usuarios que solo existen en algunos de sus sistemas, siga estos pasos:
- Haga clic en Sincronizar en la esquina inferior derecha de la página principal del módulo. Esto lo llevará al formulario que se muestra en la imagen a continuación.
- Los Servidores a sincronizar El campo determina qué sistemas se comprueban como parte del proceso. Puede elegir *Todos los servidores* para sincronizar todos los sistemas administrados o elegir Seleccionados y seleccione algunos de los sistemas en la lista a continuación. En este último caso, se podrán añadir a los elegidos usuarios específicos que existan en cualquier sistema.
- Los Usuarios a crear La sección le permite especificar qué usuarios sincronizar. Las opciones disponibles son :*Todos los usuarios que faltan *Este modo nunca debe usarse a menos que todos sus sistemas ejecuten exactamente el mismo sistema operativo, ya que sincronizará a todos los usuarios, incluidos los usuarios del sistema como squid y uucp. *Sin usuarios *Esta opción le dice al módulo que no sincronice ningún usuario y, por lo tanto, no hace nada. *Solo usuarios *Cuando se elige esta opción, solo los usuarios cuyos nombres se ingresan en el campo de texto adyacente serán considerados para la sincronización. Si sabe exactamente qué usuarios necesitan creación, esta es la opción a utilizar. *Todos excepto los usuarios *Esta opción debe usarse con cuidado (como Todos los usuarios que faltan ), porque sincroniza a todos los usuarios excepto a los que aparecen en el campo de texto adyacente. *Usuarios con UID dentro del rango* Esta opción le dice al módulo que solo sincronice usuarios cuyos UID estén dentro del rango ingresado en los campos de texto adyacentes. *Usuarios con grupo principal *Cuando se elige esta opción, el módulo solo considerará para la sincronización a los usuarios cuyo grupo principal coincida con el nombre de grupo ingresado en el campo al lado.
- Deje Grupos para crear establecido en Sin grupos .
- Cambie ¿Mostrar solo lo que se haría? campo a Sí , para que pueda hacer una prueba primero.
- Si sus sistemas comparten directorios de inicio con NFS, las opciones *¿Crear directorios de inicio?* y ¿Copiar archivos en directorios de inicio? los campos se pueden establecer en No , porque los directorios de los usuarios ya deberían existir. Sin embargo, si cada sistema tiene sus propios sistemas de archivos, debe elegir Sí en lugar de forzar la creación de un nuevo directorio vacío para cada usuario agregado.
- Para que los nuevos usuarios se agreguen al archivo de contraseñas de Samba, la lista de usuarios de Squid, etc. para cada sistema en el que se creen, cambie ¿Crear usuario en otros módulos? campo a Sí . Desafortunadamente, debido a que las contraseñas no cifradas de los usuarios no están disponibles al sincronizar, los usuarios de Samba no se crearán correctamente.
- Presiona Crear usuarios y grupos botón. Se mostrará una página que enumera todos los sistemas seleccionados y las acciones que deben realizarse en cada uno (si corresponde). Verifique para asegurarse de que solo se hará lo que espera. Si un host ya tiene todos los usuarios especificados, se mostrará el mensaje *Usuarios y grupos sincronizados*. Utilice el botón Atrás de su navegador para volver al formulario de sincronización y cambie ¿Mostrar solo lo que se haría? campo a No .
- Haga clic en Crear usuarios y grupos de nuevo para crear los usuarios de verdad. Se mostrará una página que enumera los sistemas seleccionados y las acciones que se están realizando, junto con los errores que se produzcan. Como de costumbre, una falla en un host no afectará al resto.
Los grupos que faltan se pueden crear casi exactamente de la misma manera. La única diferencia es que debe dejar los Usuarios para crear campo establecido en Sin usuarios , pero especifique los grupos para sincronizar en Grupos para crear sección.
El formulario de sincronización
Listado y eliminación de un servidor
Esta sección explica cómo ver información sobre los usuarios y grupos en un servidor administrado, o eliminarlo de la lista de sistemas controlados por el módulo. Los pasos a seguir son:
- En la página principal del módulo o en un formulario de edición de usuarios o grupos, haga clic en el icono del sistema que desea ver. Esto lo llevará a una página que muestra su sistema operativo y enumera los nombres de todos los usuarios y grupos conocidos en el servidor.
- Para ver los detalles de un usuario o editarlo, haga clic en su nombre en la lista. Esto abrirá el formulario de edición de usuario habitual, pero los atributos actuales se muestran junto a No cambiar opciones tomadas de este servidor. También puede ver y editar un grupo haciendo clic en su nombre en la página del servidor.
- Para eliminar el sistema del control de este módulo, haga clic en Eliminar de la lista administrada botón. No se solicitará confirmación y será devuelto inmediatamente a la página principal del módulo. Sin embargo, no se pierden datos, ya que puede volver a agregar el sistema en cualquier momento.