关于批量修改多台主机用户口令的问题

gfder

有多台小机部署在生产网段，按照管理的制度，是需要每个月修改一次用户口令的，而这些用户涵盖root、应用用户等等，共计有几百个；而且所有用户的口令都不一致（随机生成），复杂度很高。\r\n\r\n在这里想和大家探讨一下，有没有什么简单快捷的办法批量修改这些用户的口令？我初步想到一些方面如下：\r\n\r\n1。有没有成熟的产品？\r\n2。如果自己开发一个小系统，安全上如何控制？如通讯、口令存储、系统本身的安全等方面。光靠编写shell，通过rlogin方式修改肯定是不安全的。\r\n\r\n\r\n\r\n头大。。。欢迎各位有经验的管理员来探讨一下。。。

zhangych

比较困难吧，呵呵，现在的稽核要求越来越变态了。

ppm

通讯肯定用ssh，认证使用key+口令，\r\nkey和口令加密保存，算法要保密，\r\n要改密码的时候随便一个什么脚本就可以。\r\n我就写过perl的。\r\n目前我们的管理方式：开ssh，用密码认证，口令放在3A服务器数据库中，\r\n用户用ic卡登录，口令随机更改，对用户来说透明。

gfder

楼上的我们能详细谈谈吗？\r\n看你说的方式和我想的有点相似，但又有点出入。\r\n\r\n给你发站内短信吧

zhangych

单点登陆啊，但是ic卡到aix上怎么驱动啊，要写aix的串口驱动程序吧

chinadns

搬个板凳学习。。。。。

gfder

顶一下\r\n\r\n单点登陆实现了，登陆3a服务器后，再登陆管理目标的机器，都不需要验证用户名和口令？这样是不是就没有必要定期修改主机的口令了？只需要更改单点登陆的key就可以了？\r\n\r\n有点晕。。。

TSG_Racer

没有人想过用LDAP的方法吗？

gfder

楼上说的建议不错，我最近也研究了一下。\r\n\r\n不过需要动作比较大。。现在生产环境基本成型了，不太敢动啊