Chinaunix首页 | 论坛 | 博客
  • 博客访问: 454652
  • 博文数量: 481
  • 博客积分: 10
  • 博客等级: 民兵
  • 技术积分: 1040
  • 用 户 组: 普通用户
  • 注册时间: 2013-01-06 14:09
文章分类

全部博文(481)

文章存档

2013年(483)

我的朋友

分类: LINUX

2013-04-17 12:00:56

原文地址:Puppet管理之用户管理 作者:飞鸿无痕

Puppet管理之用户管理

一、    用户组的管理

(一)   Puppet组管理特性

1.   manages_aix_lam

用来管理AIXLAM(Loadable Authentication Module)系统。

2.   manages_members

对于目录服务是组属性成员,而不是用户。

3.   system_groups

用来允许你创建比较小GID的系统组,一般小于500

(二)   Puppet组管理参数

1.   allowdupe

是否允许重复的GIDS,默认是false

2.   attributes

在一个key=>value对中指定AIX组的属性,需要manages_aix_lam特性。

3.   ensure

创建或者删除组,值为presentabsent

4.   gid

ID,如果不指定的话会自动生成一个数字,但是不建议这么做。

5.   ia_load_module

使用I&A模块来管理用户,同样需要manages_aix_lam特性。

6.   members

用来指定组的成员。

7.   name

指定组的名字。

8.   provider

使用group资源的后端。这些后端包括:

Ø  aix --- AIX的组管理。

Ø  directoryservice --- OS X上使用目录服务进行组管理。

Ø  groupadd --- 使用groupadd管理组,大部分的平台默认识用这个来管理。

Ø  ldap --- 通过ldap进行组管理。

Ø  pw --- freebsd平台上通过pw进行组管理。

Ø  windows_adsi --- windows平台上使用本地用户管理。

9.   system

指定组是否是小GID的系统组。

 

二、    用户的管理

(一)   Puppet组管理特性

1.   allows_duplicates

支持含有相同UID的用户。

2.   manages_aix_lam

用来管理AIXLAM(Loadable Authentication Module)系统。

3.   manages_expiry

管理一个用户使用的有效期。

4.   manages_homedir

创建或者删除用户的家目录。

5.   manages_password_age

设置密码时间需求和限制。

6.   manages_passwords

更改用户的密码,通过传入密码hash字串,后面实战部分会详细介绍。

7.   manages_solaris_rbac

管理角色和普通用户。

8.   system_users

用来允许你创建比较小GID的系统用户,一般小于500

 

(二)   Puppet组管理参数

1.   allowdupe

是否允许重复的UID

2.   attributes

为用户指定AIX属性,需要manages_aix_lam特性。

3.   auths

指定用户的认证方式。

4.   comment

用户的描述。

5.   ensure

指定用户所处的基本状态。其值可以为:presentabsentrole

6.   expiry

用户使用期限。

7.   gid

设置用户的组ID。可以是数字也可以是组名。

8.   groups

设置用户的组名,只能是组名,不能是GID

9.   home

设置用户的家目录。

10.  ia_load_module

使用I&A模块来管理用户,同样需要manages_aix_lam特性。

11.  managehome

当进行用户管理的时候,是否同时管理用户的家目录。

12.  name

指定用户名。

13.  password

指定用户的密码,后面的实战部分会详细讲解。

14.  password_max_age

一个密码在必须更改之前能使用的最多天数。

15.  password_min_age

一个密码在必须更改之前能使用的最少天数。

16.  profiles

指定用户拥有的配置文件。

17.  project

和用户相关的项目的名字,需要manages_solaris_rbac特性。

18.  provider

使用user资源的后端。这些后端包括:

Ø  aix --- AIX的用户管理。

Ø  directoryservice --- OS X上使用目录服务进行用户管理。

Ø  Hpuxuseradd --- HP-UX的用户管理。

Ø  ldap --- 通过ldap进行用户管理。

Ø  pw --- freebsd平台上通过pw进行用户管理。

Ø  user_role_add --- solaris的用户和角色管理。

Ø  useradd --- 通过useradd进行用户管理,加入你要进行密码管理的话,需要安装rubyshadow密码库,一般是ruby-libshadow

Ø  windows_adsi --- windows平台上使用本地用户管理。

19.  roles

用户的角色,针对solaris系统适用。

20.  shell

指定用户登录的shell

21.  system

指定用户是否为系统用户,一般是小于500UID用户。

22.  uid

指定用户的UID

 

三、    用户管理实战

(一)     Puppet用户组管理实战

1.         用户组的添加

代码如下:

node 'node1.zhang.com' {

#为该节点添加一个名字为test的组,并设置组ID1000,如果不指定name的值,所创建的用户就为zhang

group { "zhang":

        ensure => "present",

        gid => 1000,

                   name => "test";

        }

#为该节点添加一个zhangx的组,并且设置IDzhang一样

group { "zhangx":

        ensure => "present",

        gid => 1000,

        allowdupe => true;

        }

#为该节点删除一个zhangxx的群。

group { "zhangxx":

        ensure => "absent",

        }

}

2.   用户组的删除

代码如下:

node 'node1.zhang.com' {

#为该节点删除一个zhangxx的群。

group { "zhangxx":

        ensure => "absent",

        }

}       

 

(二)     Puppet用户管理实战

1.   用户的添加

node1上创建一个不允许登录的并且密码为空的用户,代码如下:

user {"zhang":

        ensure => "present",

        shell => "/sbin/nologin";

}

创建一个carl用户,并设置用户描述为carl zhang,shell为不能登录,如果没有指定name的话就会建立和资源名一样的用户名,如果指定了name就以name指定的用户名为主。代码如下:

user {"zhang":

        ensure => "present",

        comment => "carl zhang",

        name => "carl",

        shell => "/sbin/nologin";

}

创建一个gid2000的用户组,一会需要使用,代码如下:

group { "zhangy":

        ensure => "present",

        gid => 2000,

        }

创建一个用户名为zhangsan的用户,并且用户ID和组ID都为2000,家目录为/home/zhangy,登录的shell/bin/bash,密码为123456的用户。这里的密码可以使用两种方式生成,

Ø  复制/etc/shadow文件的密码部分

Ø  使用密码工具grub-md5-crypt生成,如果没有这个命令需要安

grub的包,yum -y install grub

因为默认的创建用户的时候不会创建用户的家目录,因此这里添加了一个file资源,并指定了目录的属组和属主。

user { "zhangsan":

      ensure => "present",

      uid => 2000,

      gid => 2000,

      home => "/home/zhangy",

      shell => "/bin/bash",

      managehome => true,

 password => '$1$U50teWsT$yc9951nTizfm3k0cc/TCg/';

 }

 

file {"/home/zhangy":

        group => 2000,

        owner => 2000,

        mode => 700,

        ensure => directory;

}

 

}

2.   用户的删除

删除已经存在的用户,代码如下:

user { "zhang":

    ensure => "absent",

 }

 

四、    参考文档

 

阅读(276) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~