Red Hat Training

A Red Hat training course is available for Red Hat Satellite

第 7 章 PAM 验证

RHN Satellite Server 支持使用可插拔验证模块(PAM)通过网络验证系统。PAM 是一个程序库组件,可帮助系统管理员使用集中验证机制整合 RHN Satellite Server,因此就不需要记住多个密码。
RHN Satellite Server 可将 LDAP、Kerberos、目录服务器以及其它基于网络的验证系统与 PAM 一同使用。本章论述了将 PAM 设定为与您机构的验证设施一同工作的方法。

过程 7.1. 设置 PAM 验证

  1. 确保您使用 selinux-policy-targeted 软件包的最新版本:
    # yum update selinux-policy-targeted
    
  2. allow_httpd_mod_auth_pam SELinux 布尔值设定为 on:
    # setsebool -P allow_httpd_mod_auth_pam 1
    
  3. 使用您喜欢的文本编辑器打开 /etc/rhn/rhn.conf 文件,并添加以下行。这样可在 /etc/pam.d/rhn-satellite 中生成 PAM 文件:
    pam_auth_service = rhn-satellite
    
  4. 要设置验证,请使用您喜欢的文本编辑器打开 /etc/pam.d/rhn-satellite 服务文件,并添加适当的规则。有关配置 PAM 的详情,请参考《红帽企业版 Linux 部署指南》《可插拔验证模块(PAM)》一章。

注意

在 RHN Satellite Server 中使用 PAM 验证前确认其可正常工作。

例 7.1. 在红帽企业版 Linux 5 i386 系统中将 PAM 与 Kerberos 一同使用

这个示例在红帽企业版 Linux 5 i386 系统中使用 Kerberos 验证启用 PAM。
使用您喜欢的文本编辑器打开 /etc/pam.d/rhn-satellite 服务文件,并添加以下行:
#%PAM-1.0
auth        required      pam_env.so
auth        sufficient    pam_krb5.so no_user_check
auth        required      pam_deny.so
account     required      pam_krb5.so no_user_check
对于使用 Kerberos 认证的用户,可使用 kpasswd 更改密码。不要在 RHN 网站中更改密码,因为这个方法只适用于在 Satellite 服务器中更改本地密码。如果为该用户启用 PAM,则不会使用本地密码。

例 7.2. 将 PAM 与 LDAP 合用

这个示例使用 LDAP 验证启用 PAM。
使用您喜欢的文本编辑器打开 /etc/pam.d/rhn-satellite 服务文件,并添加以下行:
#%PAM-1.0
auth	        required      pam_env.so
auth        	sufficient    pam_ldap.so no_user_check
auth       		required      pam_deny.so
account     	required      pam_ldap.so no_user_check