Configuração automatizada de autenticação ldap para servidores RHEL5

5

Eu uso o boneco para gerenciar nossos servidores de produção. Sob rhel5 a maneira padrão de ativar o ldap é usar a ferramenta authconfig. Que funciona com sucesso, mas não é realmente capaz com a maneira fantoche de fazer as coisas. Se eu fizesse o Puppet fazer as edições relevantes para os arquivos de configuração de autenticação, quais eu deveria alterar? No topo da minha cabeça, os arquivos que eu sei que precisam ser editados para ativar a autenticação do ldap são

/etc/ldap.conf
/etc/nsswitch.conf

Mas também pode haver arquivos de configuração pam que eu não estou supor sobre

    
por Dave Cheney 09.05.2009 / 17:12

7 respostas

3

Eu normalmente edito:

/etc/ldap.conf
/etc/nsswitch.conf
/etc/openldap/ldap.conf (check for certs if necessary)
/etc/pam.d/system-auth

Acho que isso cobre os males necessários. Pode precisar do / etc / sudoers também.

    
por 12.05.2009 / 01:23
3

Minha preferência é gerenciar / etc / sysconfig / authconfig (que contém uma lista de vars), então use authconfig --updateall, isso me deixa soltar um arquivo que controla tudo.

    
por 29.05.2009 / 20:58
1

Não tenho certeza sobre nenhuma configuração específica do RedHat, mas dê uma olhada neste guia de configuração do LDAP .

Basicamente, além dos arquivos que você mencionou, você também deve configurar o PAM da seguinte forma:

auth       required     pam_env.so
auth       sufficient   pam_unix.so likeauth nullok
auth       sufficient   pam_ldap.so use_first_pass
auth       required     pam_deny.so

account    sufficient   pam_unix.so
account    sufficient   pam_ldap.so
account    required     pam_ldap.so

password   required     pam_cracklib.so difok=2 minlen=8 dcredit=2 ocredit=2 retry=3    
password   sufficient   pam_unix.so nullok md5 shadow use_authtok
password   sufficient   pam_ldap.so use_first_pass
password   required     pam_deny.so
    
por 09.05.2009 / 17:47
1

Nosso script para configurar a autenticação ldap (que chama o authconfig) modifica esses arquivos:

/etc/rc.d/init.d/iptables (rearrange the chkconfig priority)
/etc/gshadow
/etc/ssh/sshd_config
/etc/ldap.conf
/etc/pam.d/login
/etc/pam.d/sshd
/etc/group
    
por 12.05.2009 / 02:20
1

Um pouco fora do assunto, mas algo que pode ser útil ao configurar o PAM para o ldap auth é criar automaticamente os diretórios home dos usuários quando eles se conectarem a um servidor pela primeira vez.

Se você estiver configurando o ldap no arquivo system-auth, adicione o seguinte a "session":

session          required        pam_mkhomedir.so skel=/etc/skel umask=0077

Em um servidor RHEL5, eu tenho isso depois de "session require pam_limits.so" (terceira "sessão" config param).

de acordo com a sugestão de tucker acima, o fantoche é uma ótima ferramenta para gerenciar configurações em vários servidores.

    
por 20.01.2012 / 13:48
0

Se o seu kickstarting você pode configurá-lo como uma opção de kickstart Veja:

link

    
por 29.05.2009 / 21:16
0

Use o authconfig-tui em um cliente para criar os arquivos necessários (ldap.conf, krb5.conf, pam.d / system-auth-ac etc), copie esses arquivos para a sua instalação de fantoches e use o fantoche para empurrar o arquivo. arquivos para todos os servidores novos e existentes.

Se você tiver um número significativo de servidores e não estiver usando fantoches, considere isso.

    
por 13.08.2009 / 04:55

Tags