Red Hat Training

A Red Hat training course is available for Red Hat Satellite

Kapitel 7. PAM-Authentifizierung

RHN Satellite Server unterstützt netzwerkbasierte Authentifizierungssysteme mittels der sog. "Pluggable Authentication Modules" (PAM). PAM enthält eine Reihe von Bibliotheken, die Systemadministratoren dabei helfen, den RHN Satellite Server in ein zentralisiertes Authentifizierungsverfahren einzubinden, wodurch weniger Passwörter erinnert werden müssen.
RHN Satellite Server ist dazu in der Lage, PAM mit LDAP, Kerberos, Directory Server und anderen netzwerkbasierten Authentifizierungssystemen zu nutzen. Dieses Kapitel beschreibt, wie Sie PAM zum Einsatz in der Authentifizierungsinfrastruktur Ihres Unternehmens einrichten.

Prozedur 7.1. Einrichten der PAM-Authentifizierung

  1. Vergewissern Sie sich, dass Sie die neueste Version des selinux-policy-targeted-Pakets haben: 
    # yum update selinux-policy-targeted
  2. Setzen Sie die SELinux boolesche Variable allow_httpd_mod_auth_pam auf: 
    # setsebool -P allow_httpd_mod_auth_pam 1
  3. Öffnen Sie die /etc/rhn/rhn.conf-Datei in einem Texteditor Ihrer Wahl und fügen Sie die folgende Zeile hinzu. Dadurch wird eine PAM-Dienstdatei unter/etc/pam.d/rhn-satellite erstellt: 
    pam_auth_service = rhn-satellite
  4. Um die Authentifizierung einzurichten, öffnen Sie die /etc/pam.d/rhn-satellite-Dienstdatei in einem Texteditor Ihrer Wahl und fügen Sie die gewünschten Regeln hinzu. Weitere Informationen über die Konfiguration von PAM finden Sie im Kapitel Pluggable Authentication Modules (PAM) im Red Hat Enterprise Linux Bereitstellungshandbuch.

Anmerkung

Überprüfen Sie, ob die PAM-Authentifizierung korrekt funktioniert, bevor Sie sie für dem RHN Satellite Server verwenden.

Beispiel 7.1. Verwenden von PAM mit Kerberos auf einem Red Hat Enterprise Linux 5 i386 System

Dieses Beispiel aktiviert PAM mit Kerberos-Authentifizierung auf einem Red Hat Enterprise Linux 5 i386 System.
Öffnen Sie die /etc/pam.d/rhn-satellite-Dienstdatei in einem Texteditor Ihrer Wahl und fügen Sie die folgenden Regeln hinzu: 
#%PAM-1.0
auth        required      pam_env.so
auth        sufficient    pam_krb5.so no_user_check
auth        required      pam_deny.so
account     required      pam_krb5.so no_user_check
Ändern Sie für Benutzer, die sich mittels Kerberos authentifizieren, das Passwort mit kpasswd. Ändern Sie das Passwort nicht auf der RHN Website, da auf diese Weise nur das lokale Passwort auf dem Satellite-Server geändert würde. Lokale Passwörter werden nicht verwendet, wenn PAM für diesen Benutzer aktiviert ist.

Beispiel 7.2. Verwenden von PAM mit LDAP

Dieses Beispiel aktiviert PAM mit LDAP-Authentifizierung.
Öffnen Sie die /etc/pam.d/rhn-satellite-Dienstdatei in einem Texteditor Ihrer Wahl und fügen Sie die folgenden Regeln hinzu: 
#%PAM-1.0
auth	        required      pam_env.so
auth        	sufficient    pam_ldap.so no_user_check
auth       		required      pam_deny.so
account     	required      pam_ldap.so no_user_check