Eu normalmente edito:
/etc/ldap.conf
/etc/nsswitch.conf
/etc/openldap/ldap.conf (check for certs if necessary)
/etc/pam.d/system-auth
Acho que isso cobre os males necessários. Pode precisar do / etc / sudoers também.
Eu uso o boneco para gerenciar nossos servidores de produção. Sob rhel5 a maneira padrão de ativar o ldap é usar a ferramenta authconfig. Que funciona com sucesso, mas não é realmente capaz com a maneira fantoche de fazer as coisas. Se eu fizesse o Puppet fazer as edições relevantes para os arquivos de configuração de autenticação, quais eu deveria alterar? No topo da minha cabeça, os arquivos que eu sei que precisam ser editados para ativar a autenticação do ldap são
/etc/ldap.conf
/etc/nsswitch.conf
Mas também pode haver arquivos de configuração pam que eu não estou supor sobre
Minha preferência é gerenciar / etc / sysconfig / authconfig (que contém uma lista de vars), então use authconfig --updateall, isso me deixa soltar um arquivo que controla tudo.
Não tenho certeza sobre nenhuma configuração específica do RedHat, mas dê uma olhada neste guia de configuração do LDAP .
Basicamente, além dos arquivos que você mencionou, você também deve configurar o PAM da seguinte forma:
auth required pam_env.so
auth sufficient pam_unix.so likeauth nullok
auth sufficient pam_ldap.so use_first_pass
auth required pam_deny.so
account sufficient pam_unix.so
account sufficient pam_ldap.so
account required pam_ldap.so
password required pam_cracklib.so difok=2 minlen=8 dcredit=2 ocredit=2 retry=3
password sufficient pam_unix.so nullok md5 shadow use_authtok
password sufficient pam_ldap.so use_first_pass
password required pam_deny.so
Nosso script para configurar a autenticação ldap (que chama o authconfig) modifica esses arquivos:
/etc/rc.d/init.d/iptables (rearrange the chkconfig priority)
/etc/gshadow
/etc/ssh/sshd_config
/etc/ldap.conf
/etc/pam.d/login
/etc/pam.d/sshd
/etc/group
Um pouco fora do assunto, mas algo que pode ser útil ao configurar o PAM para o ldap auth é criar automaticamente os diretórios home dos usuários quando eles se conectarem a um servidor pela primeira vez.
Se você estiver configurando o ldap no arquivo system-auth, adicione o seguinte a "session":
session required pam_mkhomedir.so skel=/etc/skel umask=0077
Em um servidor RHEL5, eu tenho isso depois de "session require pam_limits.so" (terceira "sessão" config param).
de acordo com a sugestão de tucker acima, o fantoche é uma ótima ferramenta para gerenciar configurações em vários servidores.
Se o seu kickstarting você pode configurá-lo como uma opção de kickstart Veja:
Use o authconfig-tui em um cliente para criar os arquivos necessários (ldap.conf, krb5.conf, pam.d / system-auth-ac etc), copie esses arquivos para a sua instalação de fantoches e use o fantoche para empurrar o arquivo. arquivos para todos os servidores novos e existentes.
Se você tiver um número significativo de servidores e não estiver usando fantoches, considere isso.