Configuração automatizada da autenticação LDAP para os servidores do RHEL5
Eu uso fantoche para gerenciar nossos servidores de produção. Sob RHEL5 A maneira padrão de ativar o LDAP é usar a ferramenta Authconfig. Que funciona com sucesso, mas não é realmente capaz com a maneira de fazer as coisas. Se eu fosse fazer fantoches, faça as edições relevantes para os arquivos de configuração de autenticação, quais deveriam mudar? Fora do topo da minha cabeça Os arquivos que conheço que precisam de edição para permitir que a autenticação LDAP seja
/etc/ldap.conf
/etc/nsswitch.conf
Mas também pode haver arquivos de configuração PAM que eu não sou ser sobre
Eu normalmente edito:
/etc/ldap.conf
/etc/nsswitch.conf
/etc/openldap/ldap.conf (check for certs if necessary)
/etc/pam.d/system-auth
Eu acho que cobre os males necessários. Pode precisar/etc/sudoers também.
Minha preferência é gerenciar/etc/sysconfig/authconfig (que contém uma lista de vars) e use o AUTHCONFIG --UPDATEALL, isso permite que eu deixe cair 1 arquivo que controla tudo.
Nosso script para configurar o LDAP Auth (que invoca authconfig) modifica esses arquivos:
/etc/rc.d/init.d/iptables (rearrange the chkconfig priority)
/etc/gshadow
/etc/ssh/sshd_config
/etc/ldap.conf
/etc/pam.d/login
/etc/pam.d/sshd
/etc/group
Ligeiramente off-tópico, mas algo que pode ser útil ao configurar o PAM para a Auth LDAP é criar automaticamente os diretórios home do usuário quando eles fizerem login em um servidor pela primeira vez.
Se você estiver configurando o LDAP no arquivo de autenticação do sistema, adicione o seguinte para "sessão":
session required pam_mkhomedir.so skel=/etc/skel umask=0077
Em um servidor RHEL5, eu tenho isso após "sessão exigir pam_limits.so" (3º "sessão" config param).
de acordo com a sugestão do Tucker acima, a Puppet é uma ótima ferramenta para gerenciar configs em vários servidores.
Não tenho certeza sobre quaisquer configurações específicas de RedHat, mas dê uma olhada neste Guia de configuração LDAP .
Basicamente, além dos arquivos que você menciona, você também deve configurar o PAM assim:
auth required pam_env.so
auth sufficient pam_unix.so likeauth nullok
auth sufficient pam_ldap.so use_first_pass
auth required pam_deny.so
account sufficient pam_unix.so
account sufficient pam_ldap.so
account required pam_ldap.so
password required pam_cracklib.so difok=2 minlen=8 dcredit=2 ocredit=2 retry=3
password sufficient pam_unix.so nullok md5 shadow use_authtok
password sufficient pam_ldap.so use_first_pass
password required pam_deny.so
Use o AuthConfig-Tui em um cliente para criar os arquivos necessários (LDAP.CONF, KRB5.CONF, PAM.D/System-Aut-AC, etc) e, em seguida, copie os arquivos em sua instalação de fantoches e use o fantoche para empurrar os arquivos para todos os arquivos. servidores novos e existentes.
Se você tiver um número significativo de servidores e não está usando fantoche, você deve considerá-lo.
Se o seu kickstarting você pode configurar isso como uma opção Kickstart, consulte: