puppet aix之自动化用户管理
一、 用户组的管理(一) Puppet组管理特性
[*]1. manages_aix_lam
用来管理AIX的LAM(Loadable Authentication Module)系统。
[*]2. manages_members
对于目录服务是组属性成员,而不是用户。
[*]3. system_groups
用来允许你创建比较小GID的系统组,一般小于500。
(二) Puppet组管理参数
[*]allowdupe
是否允许重复的GIDS,默认是false。
[*]attributes
在一个key=>value对中指定AIX组的属性,需要manages_aix_lam特性。
[*]ensure
创建或者删除组,值为present、absent。
[*]gid
组ID,如果不指定的话会自动生成一个数字,但是不建议这么做。
[*]ia_load_module
使用I&A模块来管理用户,同样需要manages_aix_lam特性。
[*]members
用来指定组的成员。
[*]name
指定组的名字。
[*]provider
使用group资源的后端。这些后端包括:
[*]aix --- AIX的组管理。
[*]directoryservice --- 在OS X上使用目录服务进行组管理。
[*]groupadd --- 使用groupadd管理组,大部分的平台默认识用这个来管理。
[*]ldap --- 通过ldap进行组管理。
[*]pw --- 在freebsd平台上通过pw进行组管理。
[*]windows_adsi --- 在windows平台上使用本地用户管理。
[*]system
指定组是否是小GID的系统组。
二、 用户的管理
(一) Puppet组管理特性
[*]1. allows_duplicates
支持含有相同UID的用户。
[*]2. manages_aix_lam
用来管理AIX的LAM(Loadable Authentication Module)系统。
[*]3. manages_expiry
管理一个用户使用的有效期。
[*]4. manages_homedir
创建或者删除用户的家目录。
[*]5. manages_password_age
设置密码时间需求和限制。
[*]6. manages_passwords
更改用户的密码,通过传入密码hash字串,后面实战部分会详细介绍。
[*]7. manages_solaris_rbac
管理角色和普通用户。
[*]8. system_users
用来允许你创建比较小GID的系统用户,一般小于500。
(二) Puppet组管理参数
[*]allowdupe
是否允许重复的UID。
[*]attributes
为用户指定AIX属性,需要manages_aix_lam特性。
[*]auths
指定用户的认证方式。
[*]comment
用户的描述。
[*]ensure
指定用户所处的基本状态。其值可以为:present、absent、role。
[*]expiry
用户使用期限。
[*]gid
设置用户的组ID。可以是数字也可以是组名。
[*]groups
设置用户的组名,只能是组名,不能是GID。
[*]home
设置用户的家目录。
[*]ia_load_module
使用I&A模块来管理用户,同样需要manages_aix_lam特性。
[*]managehome
当进行用户管理的时候,是否同时管理用户的家目录。
[*]name
指定用户名。
[*]password
指定用户的密码,后面的实战部分会详细讲解。
[*]password_max_age
一个密码在必须更改之前能使用的最多天数。
[*]password_min_age
一个密码在必须更改之前能使用的最少天数。
[*]profiles
指定用户拥有的配置文件。
[*]project
和用户相关的项目的名字,需要manages_solaris_rbac特性。
[*]provider
使用user资源的后端。这些后端包括:
[*]aix --- AIX的用户管理。
[*]directoryservice --- 在OS X上使用目录服务进行用户管理。
[*]Hpuxuseradd --- HP-UX的用户管理。
[*]ldap --- 通过ldap进行用户管理。
[*]pw --- 在freebsd平台上通过pw进行用户管理。
[*]user_role_add --- solaris的用户和角色管理。
[*]useradd --- 通过useradd进行用户管理,加入你要进行密码管理的话,需要安装ruby的shadow密码库,一般是ruby-libshadow。
[*]windows_adsi --- 在windows平台上使用本地用户管理。
[*]roles
用户的角色,针对solaris系统适用。
[*]shell
指定用户登录的shell。
[*]system
指定用户是否为系统用户,一般是小于500的UID用户。
[*]uid
指定用户的UID。
三、 用户管理实战
(一) Puppet用户组管理实战
[*]用户组的添加
代码如下:
node 'node1.zhang.com' {
#为该节点添加一个名字为test的组,并设置组ID为1000,如果不指定name的值,所创建的用户就为zhang。
group { "zhang":
ensure => "present",
gid => 1000,
name => "test";
}
#为该节点添加一个zhangx的组,并且设置ID和zhang一样
group { "zhangx":
ensure => "present",
gid => 1000,
allowdupe => true;
}
#为该节点删除一个zhangxx的群。
group { "zhangxx":
ensure => "absent",
}
}
[*]用户组的删除
代码如下:
node 'node1.zhang.com' {
#为该节点删除一个zhangxx的群。
group { "zhangxx":
ensure => "absent",
}
}
(二) Puppet用户管理实战
[*]用户的添加
在node1上创建一个不允许登录的并且密码为空的用户,代码如下:
user {"zhang":
ensure => "present",
shell => "/sbin/nologin";
}
创建一个carl用户,并设置用户描述为carl zhang,shell为不能登录,如果没有指定name的话就会建立和资源名一样的用户名,如果指定了name就以name指定的用户名为主。代码如下:
user {"zhang":
ensure => "present",
comment => "carl zhang",
name => "carl",
shell => "/sbin/nologin";
}
创建一个gid为2000的用户组,一会需要使用,代码如下:
group { "zhangy":
ensure => "present",
gid => 2000,
}
创建一个用户名为zhangsan的用户,并且用户ID和组ID都为2000,家目录为/home/zhangy,登录的shell为/bin/bash,密码为123456的用户。这里的密码可以使用两种方式生成,
[*]复制/etc/shadow文件的密码部分
[*]使用密码工具grub-md5-crypt生成,如果没有这个命令需要安
装grub的包,yum -y install grub
因为默认的创建用户的时候不会创建用户的家目录,因此这里添加了一个file资源,并指定了目录的属组和属主。
user { "zhangsan":
ensure => "present",
uid => 2000,
gid => 2000,
home => "/home/zhangy",
shell => "/bin/bash",
managehome => true,
password => '$1$U50teWsT$yc9951nTizfm3k0cc/TCg/';
}
file {"/home/zhangy":
group => 2000,
owner => 2000,
mode => 700,
ensure => directory;
}
}
[*]用户的删除
删除已经存在的用户,代码如下:
user { "zhang":
ensure => "absent",
}
页:
[1]