Red Hat Training
A Red Hat training course is available for Red Hat Satellite
Глава 7. Аутентификация PAM
RHN Satellite поддерживает сетевую аутентификацию с помощью подключаемых модулей аутентификации (PAM, Pluggable Authentication Modules). Модули PAM представляют собой наборы библиотек для интеграции Satellite c централизованным механизмом аутентификации, что избавит от необходимости запоминания паролей.
Используйте PAM для аутентификации в LDAP, Kerberos, Directory Server и других сетевых аутентификационных системах.
Процедура 7.1. Настройка аутентификации PAM
- Обновите пакет
selinux-policy-targeted
:# yum update selinux-policy-targeted
- Определите значение
allow_httpd_mod_auth_pam
:# setsebool -P allow_httpd_mod_auth_pam 1
- В
/etc/rhn/rhn.conf
добавьте выражение для создания служебного файла PAM в/etc/pam.d/rhn-satellite
:pam_auth_service = rhn-satellite
- В файл
/etc/pam.d/rhn-satellite
добавьте правила для аутентификации. Информацию о настройке PAM можно найти в главе PAM в руководстве по развертыванию Red Hat Enterprise Linux.
Примечание
Убедитесь, что аутентификация PAM работает корректно, и уже после этого ее возможности можно будет использовать на сервере RHN Satellite.
Пример 7.1. PAM c Kerberos в Red Hat Enterprise Linux 5 на i386
Следующий пример демонстрирует настройку аутентификации PAM с Kerberos в Red Hat Enterprise Linux 5 на i386.
Добавьте правила в файл
/etc/pam.d/rhn-satellite
:
#%PAM-1.0 auth required pam_env.so auth sufficient pam_krb5.so no_user_check auth required pam_deny.so account required pam_krb5.so no_user_check
Для пользователей, использующих аутентификацию Kerberos, следует изменить пароль с помощью
kpasswd
. Не изменяйте пароль на сайте RHN, так как при этом будет изменен только локальный пароль на сервере Satellite, который все равно не используется при активации функций PAM.
Пример 7.2. PAM и LDAP
Следующий пример демонстрирует настройку аутентификации PAM с LDAP.
Добавьте правила в файл
/etc/pam.d/rhn-satellite
:
#%PAM-1.0 auth required pam_env.so auth sufficient pam_ldap.so no_user_check auth required pam_deny.so account required pam_ldap.so no_user_check