実稼働サーバーの管理には puppet を使用します。 rhel5では、LDAPを有効にする標準的な方法は、authconfigツールを使用することです。これは正常に機能しますが、パペットのやり方では実際には機能しません。 puppetに認証構成ファイルに関連する編集を行わせる場合、どのファイルを変更する必要がありますか? LDAP認証を有効にするために編集が必要であることがわかっているファイルは頭のてっぺんから
/etc/ldap.conf
/etc/nsswitch.conf
しかし、私が気にしないpam設定ファイルもあるかもしれません
私は通常編集します:
/etc/ldap.conf
/etc/nsswitch.conf
/etc/openldap/ldap.conf (check for certs if necessary)
/etc/pam.d/system-auth
それは必要な悪をカバーしていると思います。/etc/sudoersも必要になる場合があります。
私の好みは、/ etc/sysconfig/authconfig(変数のリストを含む)を管理してからauthconfig --updateallを使用することです。これにより、すべてを制御する1つのファイルをドロップできます。
Ldap auth(authconfigを呼び出す)を設定するスクリプトは、これらのファイルを変更します。
/etc/rc.d/init.d/iptables (rearrange the chkconfig priority)
/etc/gshadow
/etc/ssh/sshd_config
/etc/ldap.conf
/etc/pam.d/login
/etc/pam.d/sshd
/etc/group
少しトピックから外れていますが、LDAP認証用にPAMを設定するときに役立つのは、ユーザーがサーバーに初めてログインするときにユーザーのホームディレクトリを自動的に作成することです。
System-authファイルでldapを設定する場合は、「セッション」に以下を追加します。
session required pam_mkhomedir.so skel=/etc/skel umask=0077
RHEL5サーバーでは、「session require pam_limits.so」(3番目の「session」構成パラメーター)の後にこれがあります。
上記のタッカーの提案によると、puppetは複数のサーバー間で構成を管理するための優れたツールです。
RedHat固有の構成についてはよくわかりませんが、これを見てください LDAP構成ガイド 。
基本的に、言及したファイルに加えて、次のようにPAMも構成する必要があります。
auth required pam_env.so
auth sufficient pam_unix.so likeauth nullok
auth sufficient pam_ldap.so use_first_pass
auth required pam_deny.so
account sufficient pam_unix.so
account sufficient pam_ldap.so
account required pam_ldap.so
password required pam_cracklib.so difok=2 minlen=8 dcredit=2 ocredit=2 retry=3
password sufficient pam_unix.so nullok md5 shadow use_authtok
password sufficient pam_ldap.so use_first_pass
password required pam_deny.so
1つのクライアントでauthconfig-tuiを使用して必要なファイル(ldap.conf、krb5.conf、pam.d/system-auth-acなど)を作成し、それらのファイルをpuppetインストールにコピーし、puppetを使用してファイルをすべてにプッシュします。新規および既存のサーバー。
かなりの数のサーバーがあり、puppetを使用していない場合は、それを検討する必要があります。
キックスタートの場合は、これをキックスタートオプションとして設定できます。参照: