首页 > 代码库 > puppet aix之自动化用户管理

puppet aix之自动化用户管理

一、    用户组的管理

(一)   Puppet组管理特性

  1. 1.   manages_aix_lam

用来管理AIX的LAM(Loadable Authentication Module)系统。

  1. 2.   manages_members

对于目录服务是组属性成员,而不是用户。

  1. 3.   system_groups

用来允许你创建比较小GID的系统组,一般小于500。

(二)   Puppet组管理参数

  1. allowdupe

是否允许重复的GIDS,默认是false。

  1. attributes

在一个key=>value对中指定AIX组的属性,需要manages_aix_lam特性。

  1. ensure

创建或者删除组,值为present、absent。

  1. gid

组ID,如果不指定的话会自动生成一个数字,但是不建议这么做。

  1. ia_load_module

使用I&A模块来管理用户,同样需要manages_aix_lam特性。

  1. members

用来指定组的成员。

  1. name

指定组的名字。

  1. provider

使用group资源的后端。这些后端包括:

  • aix --- AIX的组管理。
  • directoryservice --- 在OS X上使用目录服务进行组管理。
  • groupadd --- 使用groupadd管理组,大部分的平台默认识用这个来管理。
  • ldap --- 通过ldap进行组管理。
  • pw --- 在freebsd平台上通过pw进行组管理。
  • windows_adsi --- 在windows平台上使用本地用户管理。
  1. system

指定组是否是小GID的系统组。

 

二、    用户的管理

(一)   Puppet组管理特性

  1. 1.   allows_duplicates

支持含有相同UID的用户。

  1. 2.   manages_aix_lam

用来管理AIX的LAM(Loadable Authentication Module)系统。

  1. 3.   manages_expiry

管理一个用户使用的有效期。

  1. 4.   manages_homedir

创建或者删除用户的家目录。

  1. 5.   manages_password_age

设置密码时间需求和限制。

  1. 6.   manages_passwords

更改用户的密码,通过传入密码hash字串,后面实战部分会详细介绍。

  1. 7.   manages_solaris_rbac

管理角色和普通用户。

  1. 8.   system_users

用来允许你创建比较小GID的系统用户,一般小于500。

 

(二)   Puppet组管理参数

  1. allowdupe

是否允许重复的UID。

  1. attributes

为用户指定AIX属性,需要manages_aix_lam特性。

  1. auths

指定用户的认证方式。

  1. comment

用户的描述。

  1. ensure

指定用户所处的基本状态。其值可以为:present、absent、role。

  1. expiry

用户使用期限。

  1. gid

设置用户的组ID。可以是数字也可以是组名。

  1. groups

设置用户的组名,只能是组名,不能是GID。

  1. home

设置用户的家目录。

  1. ia_load_module

使用I&A模块来管理用户,同样需要manages_aix_lam特性。

  1. managehome

当进行用户管理的时候,是否同时管理用户的家目录。

  1. name

指定用户名。

  1. password

指定用户的密码,后面的实战部分会详细讲解。

  1. password_max_age

一个密码在必须更改之前能使用的最多天数。

  1. password_min_age

一个密码在必须更改之前能使用的最少天数。

  1. profiles

指定用户拥有的配置文件。

  1. project

和用户相关的项目的名字,需要manages_solaris_rbac特性。

  1. provider

使用user资源的后端。这些后端包括:

  • aix --- AIX的用户管理。
  • directoryservice --- 在OS X上使用目录服务进行用户管理。
  • Hpuxuseradd --- HP-UX的用户管理。
  • ldap --- 通过ldap进行用户管理。
  • pw --- 在freebsd平台上通过pw进行用户管理。
  • user_role_add --- solaris的用户和角色管理。
  • useradd --- 通过useradd进行用户管理,加入你要进行密码管理的话,需要安装ruby的shadow密码库,一般是ruby-libshadow
  • windows_adsi --- 在windows平台上使用本地用户管理。
  1. roles

用户的角色,针对solaris系统适用。

  1. shell

指定用户登录的shell。

  1. system

指定用户是否为系统用户,一般是小于500的UID用户。

  1. uid

指定用户的UID。

 

三、    用户管理实战

(一)     Puppet用户组管理实战

  1. 用户组的添加

代码如下:

node ‘node1.zhang.com‘ {

#为该节点添加一个名字为test的组,并设置组ID为1000,如果不指定name的值,所创建的用户就为zhang。

group { "zhang":

        ensure => "present",

        gid => 1000,

                   name => "test";

        }

#为该节点添加一个zhangx的组,并且设置ID和zhang一样

group { "zhangx":

        ensure => "present",

        gid => 1000,

        allowdupe => true;

        }

#为该节点删除一个zhangxx的群。

group { "zhangxx":

        ensure => "absent",

        }

}

  1. 用户组的删除

代码如下:

node ‘node1.zhang.com‘ {

#为该节点删除一个zhangxx的群。

group { "zhangxx":

        ensure => "absent",

        }

}       

 

(二)     Puppet用户管理实战

  1. 用户的添加

在node1上创建一个不允许登录的并且密码为空的用户,代码如下:

user {"zhang":

        ensure => "present",

        shell => "/sbin/nologin";

}

创建一个carl用户,并设置用户描述为carl zhang,shell为不能登录,如果没有指定name的话就会建立和资源名一样的用户名,如果指定了name就以name指定的用户名为主。代码如下:

user {"zhang":

        ensure => "present",

        comment => "carl zhang",

        name => "carl",

        shell => "/sbin/nologin";

}

创建一个gid为2000的用户组,一会需要使用,代码如下:

group { "zhangy":

        ensure => "present",

        gid => 2000,

        }

创建一个用户名为zhangsan的用户,并且用户ID和组ID都为2000,家目录为/home/zhangy,登录的shell为/bin/bash,密码为123456的用户。这里的密码可以使用两种方式生成,

  • 复制/etc/shadow文件的密码部分
  • 使用密码工具grub-md5-crypt生成,如果没有这个命令需要安

装grub的包,yum -y install grub

因为默认的创建用户的时候不会创建用户的家目录,因此这里添加了一个file资源,并指定了目录的属组和属主。

user { "zhangsan":

      ensure => "present",

      uid => 2000,

      gid => 2000,

      home => "/home/zhangy",

      shell => "/bin/bash",

      managehome => true,

 password => ‘$1$U50teWsT$yc9951nTizfm3k0cc/TCg/‘;

 }

 

file {"/home/zhangy":

        group => 2000,

        owner => 2000,

        mode => 700,

        ensure => directory;

}

 

}

  1. 用户的删除

删除已经存在的用户,代码如下:

user { "zhang":

    ensure => "absent",

 }