web-dev-qa-db-ja.com

RHEL5サーバーのLDAP認証の自動構成

実稼働サーバーの管理には puppet を使用します。 rhel5では、LDAPを有効にする標準的な方法は、authconfigツールを使用することです。これは正常に機能しますが、パペットのやり方では実際には機能しません。 puppetに認証構成ファイルに関連する編集を行わせる場合、どのファイルを変更する必要がありますか? LDAP認証を有効にするために編集が必要であることがわかっているファイルは頭のてっぺんから

/etc/ldap.conf
/etc/nsswitch.conf

しかし、私が気にしないpam設定ファイルもあるかもしれません

5
Dave Cheney

私は通常編集します:

/etc/ldap.conf
/etc/nsswitch.conf
/etc/openldap/ldap.conf (check for certs if necessary)
/etc/pam.d/system-auth

それは必要な悪をカバーしていると思います。/etc/sudoersも必要になる場合があります。

3
f4nt

私の好みは、/ etc/sysconfig/authconfig(変数のリストを含む)を管理してからauthconfig --updateallを使用することです。これにより、すべてを制御する1つのファイルをドロップできます。

3
Stick

Ldap auth(authconfigを呼び出す)を設定するスクリプトは、これらのファイルを変更します。

/etc/rc.d/init.d/iptables (rearrange the chkconfig priority)
/etc/gshadow
/etc/ssh/sshd_config
/etc/ldap.conf
/etc/pam.d/login
/etc/pam.d/sshd
/etc/group
1
Jason Luther

少しトピックから外れていますが、LDAP認証用にPAMを設定するときに役立つのは、ユーザーがサーバーに初めてログインするときにユーザーのホームディレクトリを自動的に作成することです。

System-authファイルでldapを設定する場合は、「セッション」に以下を追加します。

session          required        pam_mkhomedir.so skel=/etc/skel umask=0077

RHEL5サーバーでは、「session require pam_limits.so」(3番目の「session」構成パラメーター)の後にこれがあります。

上記のタッカーの提案によると、puppetは複数のサーバー間で構成を管理するための優れたツールです。

1
Brett

RedHat固有の構成についてはよくわかりませんが、これを見てください LDAP構成ガイド

基本的に、言及したファイルに加えて、次のようにPAMも構成する必要があります。

auth       required     pam_env.so
auth       sufficient   pam_unix.so likeauth nullok
auth       sufficient   pam_ldap.so use_first_pass
auth       required     pam_deny.so

account    sufficient   pam_unix.so
account    sufficient   pam_ldap.so
account    required     pam_ldap.so

password   required     pam_cracklib.so difok=2 minlen=8 dcredit=2 ocredit=2 retry=3    
password   sufficient   pam_unix.so nullok md5 shadow use_authtok
password   sufficient   pam_ldap.so use_first_pass
password   required     pam_deny.so
1
Ivan

1つのクライアントでauthconfig-tuiを使用して必要なファイル(ldap.conf、krb5.conf、pam.d/system-auth-acなど)を作成し、それらのファイルをpuppetインストールにコピーし、puppetを使用してファイルをすべてにプッシュします。新規および既存のサーバー。

かなりの数のサーバーがあり、puppetを使用していない場合は、それを検討する必要があります。

0
Tucker the Dog

キックスタートの場合は、これをキックスタートオプションとして設定できます。参照:

http://www.redhat.com/docs/manuals/enterprise/RHEL-5-manual/Installation_Guide-en-US/s1-kickstart2-options.html

0
Jason Tan