я использую кукольный для управления нашими производственными серверами. В rhel5 стандартным способом включения ldap является использование инструмента authconfig. Что успешно работает, но не совсем подходит для марионеточных вещей. Если бы я попросил марионетку внести соответствующие изменения в файлы конфигурации аутентификации, какие из них мне следовало бы изменить? В верхней части моей головы файлы, которые, как я знаю, нуждаются в редактировании для включения аутентификации ldap, это
/etc/ldap.conf
/etc/nsswitch.conf
Но также могут быть файлы конфигурации pam, о которых я не страдаю
Я предпочитаю управлять / etc / sysconfig / authconfig (который содержит список переменных), а затем использовать authconfig --updateall, это позволяет мне удалить 1 файл, который контролирует все.
Обычно я редактирую:
/etc/ldap.conf
/etc/nsswitch.conf
/etc/openldap/ldap.conf (check for certs if necessary)
/etc/pam.d/system-auth
Я думаю, это покрывает необходимое зло. Также может потребоваться / etc / sudoers.
Я не уверен в каких-либо конкретных конфигурациях RedHat, но взгляните на это Руководство по настройке LDAP.
По сути, помимо файлов, которые вы упомянули, вы также должны настроить PAM следующим образом:
auth required pam_env.so
auth sufficient pam_unix.so likeauth nullok
auth sufficient pam_ldap.so use_first_pass
auth required pam_deny.so
account sufficient pam_unix.so
account sufficient pam_ldap.so
account required pam_ldap.so
password required pam_cracklib.so difok=2 minlen=8 dcredit=2 ocredit=2 retry=3
password sufficient pam_unix.so nullok md5 shadow use_authtok
password sufficient pam_ldap.so use_first_pass
password required pam_deny.so
Наш скрипт для настройки ldap auth (который вызывает authconfig) изменяет эти файлы:
/etc/rc.d/init.d/iptables (rearrange the chkconfig priority)
/etc/gshadow
/etc/ssh/sshd_config
/etc/ldap.conf
/etc/pam.d/login
/etc/pam.d/sshd
/etc/group
Немного не по теме, но кое-что, что может быть полезно при настройке PAM для ldap auth, - это автоматическое создание домашних каталогов пользователей, когда они впервые входят на сервер.
Если вы настраиваете ldap в файле system-auth, добавьте следующее в "session":
session required pam_mkhomedir.so skel=/etc/skel umask=0077
На сервере RHEL5 у меня это появляется после "session require pam_limits.so" (третий параметр конфигурации "session").
Согласно приведенному выше предложению Такера, puppet - отличный инструмент для управления конфигурациями на нескольких серверах.
Если у вас кикстарт, вы можете настроить его как опцию кикстарта См.:
Используйте authconfig-tui на одном клиенте для создания необходимых файлов (ldap.conf, krb5.conf, pam.d / system-auth-ac и т. Д.), Затем скопируйте эти файлы в свою установку марионетки и используйте puppet, чтобы отправить файлы всем новые и существующие серверы.
Если у вас значительное количество серверов и вы не используете марионетку, вам следует подумать об этом.