ti-enxame.com

Configuração automatizada da autenticação LDAP para os servidores do RHEL5

Eu uso fantoche para gerenciar nossos servidores de produção. Sob RHEL5 A maneira padrão de ativar o LDAP é usar a ferramenta Authconfig. Que funciona com sucesso, mas não é realmente capaz com a maneira de fazer as coisas. Se eu fosse fazer fantoches, faça as edições relevantes para os arquivos de configuração de autenticação, quais deveriam mudar? Fora do topo da minha cabeça Os arquivos que conheço que precisam de edição para permitir que a autenticação LDAP seja

/etc/ldap.conf
/etc/nsswitch.conf

Mas também pode haver arquivos de configuração PAM que eu não sou ser sobre

5
Dave Cheney

Eu normalmente edito:

/etc/ldap.conf
/etc/nsswitch.conf
/etc/openldap/ldap.conf (check for certs if necessary)
/etc/pam.d/system-auth

Eu acho que cobre os males necessários. Pode precisar/etc/sudoers também.

3
f4nt

Minha preferência é gerenciar/etc/sysconfig/authconfig (que contém uma lista de vars) e use o AUTHCONFIG --UPDATEALL, isso permite que eu deixe cair 1 arquivo que controla tudo.

3
Stick

Nosso script para configurar o LDAP Auth (que invoca authconfig) modifica esses arquivos:

/etc/rc.d/init.d/iptables (rearrange the chkconfig priority)
/etc/gshadow
/etc/ssh/sshd_config
/etc/ldap.conf
/etc/pam.d/login
/etc/pam.d/sshd
/etc/group
1
Jason Luther

Ligeiramente off-tópico, mas algo que pode ser útil ao configurar o PAM para a Auth LDAP é criar automaticamente os diretórios home do usuário quando eles fizerem login em um servidor pela primeira vez.

Se você estiver configurando o LDAP no arquivo de autenticação do sistema, adicione o seguinte para "sessão":

session          required        pam_mkhomedir.so skel=/etc/skel umask=0077

Em um servidor RHEL5, eu tenho isso após "sessão exigir pam_limits.so" (3º "sessão" config param).

de acordo com a sugestão do Tucker acima, a Puppet é uma ótima ferramenta para gerenciar configs em vários servidores.

1
Brett

Não tenho certeza sobre quaisquer configurações específicas de RedHat, mas dê uma olhada neste Guia de configuração LDAP .

Basicamente, além dos arquivos que você menciona, você também deve configurar o PAM assim:

auth       required     pam_env.so
auth       sufficient   pam_unix.so likeauth nullok
auth       sufficient   pam_ldap.so use_first_pass
auth       required     pam_deny.so

account    sufficient   pam_unix.so
account    sufficient   pam_ldap.so
account    required     pam_ldap.so

password   required     pam_cracklib.so difok=2 minlen=8 dcredit=2 ocredit=2 retry=3    
password   sufficient   pam_unix.so nullok md5 shadow use_authtok
password   sufficient   pam_ldap.so use_first_pass
password   required     pam_deny.so
1
Ivan

Use o AuthConfig-Tui em um cliente para criar os arquivos necessários (LDAP.CONF, KRB5.CONF, PAM.D/System-Aut-AC, etc) e, em seguida, copie os arquivos em sua instalação de fantoches e use o fantoche para empurrar os arquivos para todos os arquivos. servidores novos e existentes.

Se você tiver um número significativo de servidores e não está usando fantoche, você deve considerá-lo.

0
Tucker the Dog

Se o seu kickstarting você pode configurar isso como uma opção Kickstart, consulte:

http://www.redhat.com/docs/manuals/enterprise/rhel-5-manual/installation_guide-en-us/s1-kickstart2-options.html

0
Jason Tan