Red Hat Training
A Red Hat training course is available for Red Hat Satellite
Kapitel 7. PAM-Authentifizierung
RHN Satellite Server unterstützt netzwerkbasierte Authentifizierungssysteme mittels der sog. "Pluggable Authentication Modules" (PAM). PAM enthält eine Reihe von Bibliotheken, die Systemadministratoren dabei helfen, den RHN Satellite Server in ein zentralisiertes Authentifizierungsverfahren einzubinden, wodurch weniger Passwörter erinnert werden müssen.
RHN Satellite Server ist dazu in der Lage, PAM mit LDAP, Kerberos, Directory Server und anderen netzwerkbasierten Authentifizierungssystemen zu nutzen. Dieses Kapitel beschreibt, wie Sie PAM zum Einsatz in der Authentifizierungsinfrastruktur Ihres Unternehmens einrichten.
Prozedur 7.1. Einrichten der PAM-Authentifizierung
- Vergewissern Sie sich, dass Sie die neueste Version des
selinux-policy-targeted
-Pakets haben:# yum update selinux-policy-targeted
- Setzen Sie die SELinux boolesche Variable
allow_httpd_mod_auth_pam
auf:# setsebool -P allow_httpd_mod_auth_pam 1
- Öffnen Sie die
/etc/rhn/rhn.conf
-Datei in einem Texteditor Ihrer Wahl und fügen Sie die folgende Zeile hinzu. Dadurch wird eine PAM-Dienstdatei unter/etc/pam.d/rhn-satellite
erstellt:pam_auth_service = rhn-satellite
- Um die Authentifizierung einzurichten, öffnen Sie die
/etc/pam.d/rhn-satellite
-Dienstdatei in einem Texteditor Ihrer Wahl und fügen Sie die gewünschten Regeln hinzu. Weitere Informationen über die Konfiguration von PAM finden Sie im Kapitel Pluggable Authentication Modules (PAM) im Red Hat Enterprise Linux Bereitstellungshandbuch.
Anmerkung
Überprüfen Sie, ob die PAM-Authentifizierung korrekt funktioniert, bevor Sie sie für dem RHN Satellite Server verwenden.
Beispiel 7.1. Verwenden von PAM mit Kerberos auf einem Red Hat Enterprise Linux 5 i386 System
Dieses Beispiel aktiviert PAM mit Kerberos-Authentifizierung auf einem Red Hat Enterprise Linux 5 i386 System.
Öffnen Sie die
/etc/pam.d/rhn-satellite
-Dienstdatei in einem Texteditor Ihrer Wahl und fügen Sie die folgenden Regeln hinzu:
#%PAM-1.0 auth required pam_env.so auth sufficient pam_krb5.so no_user_check auth required pam_deny.so account required pam_krb5.so no_user_check
Ändern Sie für Benutzer, die sich mittels Kerberos authentifizieren, das Passwort mit
kpasswd
. Ändern Sie das Passwort nicht auf der RHN Website, da auf diese Weise nur das lokale Passwort auf dem Satellite-Server geändert würde. Lokale Passwörter werden nicht verwendet, wenn PAM für diesen Benutzer aktiviert ist.
Beispiel 7.2. Verwenden von PAM mit LDAP
Dieses Beispiel aktiviert PAM mit LDAP-Authentifizierung.
Öffnen Sie die
/etc/pam.d/rhn-satellite
-Dienstdatei in einem Texteditor Ihrer Wahl und fügen Sie die folgenden Regeln hinzu:
#%PAM-1.0 auth required pam_env.so auth sufficient pam_ldap.so no_user_check auth required pam_deny.so account required pam_ldap.so no_user_check