红帽卫星与 Ubuntu 格局

Question

Dave Cheney

Asked: 2009-05-10 07:12:34 +0800 CST2009-05-10 07:12:34 +0800 CST 2009-05-10 07:12:34 +0800 CST

为 RHEL5 服务器自动配置 ldap 身份验证

772

我使用puppet来管理我们的生产服务器。在 rhel5 下，启用 ldap 的标准方法是使用 authconfig 工具。哪个工作成功，但实际上并不能以傀儡的方式做事。如果我要让 puppet 对身份验证配置文件进行相关编辑，我应该更改哪些？在我的脑海中，我知道需要编辑以启用 ldap 身份验证的文件是

/etc/ldap.conf
/etc/nsswitch.conf

但也可能有我不喜欢的 pam 配置文件

7 个回答

Voted

f4nt · Answer 1 · 2009-05-12T15:23:40+08:00

Best Answer

f4nt

2009-05-12T15:23:40+08:002009-05-12T15:23:40+08:00

我通常编辑：

/etc/ldap.conf
/etc/nsswitch.conf
/etc/openldap/ldap.conf (check for certs if necessary)
/etc/pam.d/system-auth

我认为这涵盖了必要的弊端。可能还需要 /etc/sudoers 。

3

Stick · Answer 2 · 2009-05-30T10:58:25+08:00

Stick

2009-05-30T10:58:25+08:002009-05-30T10:58:25+08:00

我的偏好是管理 /etc/sysconfig/authconfig（其中包含一个变量列表），然后使用 authconfig --updateall，这让我可以删除 1 个控制一切的文件。

3

Ivan · Answer 3 · 2009-05-10T07:47:23+08:00

Ivan

2009-05-10T07:47:23+08:002009-05-10T07:47:23+08:00

我不确定是否有任何 RedHat 特定配置，但请查看此LDAP 配置指南。

基本上，除了您提到的文件之外，您还应该像这样配置 PAM：

auth       required     pam_env.so
auth       sufficient   pam_unix.so likeauth nullok
auth       sufficient   pam_ldap.so use_first_pass
auth       required     pam_deny.so

account    sufficient   pam_unix.so
account    sufficient   pam_ldap.so
account    required     pam_ldap.so

password   required     pam_cracklib.so difok=2 minlen=8 dcredit=2 ocredit=2 retry=3    
password   sufficient   pam_unix.so nullok md5 shadow use_authtok
password   sufficient   pam_ldap.so use_first_pass
password   required     pam_deny.so

1

Jason Luther · Answer 4 · 2009-05-12T16:20:59+08:00

Jason Luther

2009-05-12T16:20:59+08:002009-05-12T16:20:59+08:00

我们设置 ldap auth（调用 authconfig）的脚本修改了这些文件：

/etc/rc.d/init.d/iptables (rearrange the chkconfig priority)
/etc/gshadow
/etc/ssh/sshd_config
/etc/ldap.conf
/etc/pam.d/login
/etc/pam.d/sshd
/etc/group

1

Brett · Answer 5 · 2012-01-21T04:48:25+08:00

Brett

2012-01-21T04:48:25+08:002012-01-21T04:48:25+08:00

有点跑题了，但是在为 ldap auth 设置 PAM 时可能会有所帮助的是在用户首次登录服务器时自动创建用户主目录。

如果您在 system-auth 文件中设置 ldap，则将以下内容添加到“会话”中：

session          required        pam_mkhomedir.so skel=/etc/skel umask=0077

在 RHEL5 服务器上，我在“会话需要 pam_limits.so”（第三个“会话”配置参数）之后有这个。

根据上面 tucker 的建议，puppet 是管理跨多个服务器的配置的好工具。

1

Jason Tan · Answer 6 · 2009-05-30T11:16:05+08:00

Jason Tan

2009-05-30T11:16:05+08:002009-05-30T11:16:05+08:00

如果您是 kickstart，您可以将其设置为 kickstart 选项，请参阅：

http://www.redhat.com/docs/manuals/enterprise/RHEL-5-manual/Installation_Guide-en-US/s1-kickstart2-options.html

0

Tucker the Dog · Answer 7 · 2009-08-13T18:55:05+08:00

Tucker the Dog

2009-08-13T18:55:05+08:002009-08-13T18:55:05+08:00

在一个客户端上使用 authconfig-tui 创建必要的文件（ldap.conf、krb5.conf、pam.d/system-auth-ac 等），然后将这些文件复制到您的 puppet 安装中并使用 puppet 将文件推送到所有新的和现有的服务器。

如果你有大量的服务器并且你没有使用 puppet，你应该考虑它。

0

为 RHEL5 服务器自动配置 ldap 身份验证

SFTP 使用什么端口？

从 IP 地址解析主机名

如何按大小对 du -h 输出进行排序

命令行列出 Windows Active Directory 组中的用户？

Windows 中执行反向 DNS 查找的命令行实用程序是什么？

如何检查 Windows 机器上的端口是否被阻塞？

我应该打开哪个端口以允许远程桌面？

什么是 Pem 文件，它与其他 OpenSSL 生成的密钥文件格式有何不同？

如何确定bash变量是否为空？

为 RHEL5 服务器自动配置 ldap 身份验证

7 个回答

相关问题