Puppet管理之用户管理
一、 用户组的管理
(一) Puppet组管理特性
1. manages_aix_lam
用来管理AIX的LAM(Loadable Authentication Module)系统。
2. manages_members
对于目录服务是组属性成员,而不是用户。
3. system_groups
用来允许你创建比较小GID的系统组,一般小于500。
(二) Puppet组管理参数
1. allowdupe
是否允许重复的GIDS,默认是false。
2. attributes
在一个key=>value对中指定AIX组的属性,需要manages_aix_lam特性。
3. ensure
创建或者删除组,值为present、absent。
4. gid
组ID,如果不指定的话会自动生成一个数字,但是不建议这么做。
5. ia_load_module
使用I&A模块来管理用户,同样需要manages_aix_lam特性。
6. members
用来指定组的成员。
7. name
指定组的名字。
8. provider
使用group资源的后端。这些后端包括:
Ø aix --- AIX的组管理。
Ø directoryservice --- 在OS X上使用目录服务进行组管理。
Ø groupadd --- 使用groupadd管理组,大部分的平台默认识用这个来管理。
Ø ldap --- 通过ldap进行组管理。
Ø pw --- 在freebsd平台上通过pw进行组管理。
Ø windows_adsi --- 在windows平台上使用本地用户管理。
9. system
指定组是否是小GID的系统组。
二、 用户的管理
(一) Puppet组管理特性
1. allows_duplicates
支持含有相同UID的用户。
2. manages_aix_lam
用来管理AIX的LAM(Loadable Authentication Module)系统。
3. manages_expiry
管理一个用户使用的有效期。
4. manages_homedir
创建或者删除用户的家目录。
5. manages_password_age
设置密码时间需求和限制。
6. manages_passwords
更改用户的密码,通过传入密码hash字串,后面实战部分会详细介绍。
7. manages_solaris_rbac
管理角色和普通用户。
8. system_users
用来允许你创建比较小GID的系统用户,一般小于500。
(二) Puppet组管理参数
1. allowdupe
是否允许重复的UID。
2. attributes
为用户指定AIX属性,需要manages_aix_lam特性。
3. auths
指定用户的认证方式。
4. comment
用户的描述。
5. ensure
指定用户所处的基本状态。其值可以为:present、absent、role。
6. expiry
用户使用期限。
7. gid
设置用户的组ID。可以是数字也可以是组名。
8. groups
设置用户的组名,只能是组名,不能是GID。
9. home
设置用户的家目录。
10. ia_load_module
使用I&A模块来管理用户,同样需要manages_aix_lam特性。
11. managehome
当进行用户管理的时候,是否同时管理用户的家目录。
12. name
指定用户名。
13. password
指定用户的密码,后面的实战部分会详细讲解。
14. password_max_age
一个密码在必须更改之前能使用的最多天数。
15. password_min_age
一个密码在必须更改之前能使用的最少天数。
16. profiles
指定用户拥有的配置文件。
17. project
和用户相关的项目的名字,需要manages_solaris_rbac特性。
18. provider
使用user资源的后端。这些后端包括:
Ø aix --- AIX的用户管理。
Ø directoryservice --- 在OS X上使用目录服务进行用户管理。
Ø Hpuxuseradd --- HP-UX的用户管理。
Ø ldap --- 通过ldap进行用户管理。
Ø pw --- 在freebsd平台上通过pw进行用户管理。
Ø user_role_add --- solaris的用户和角色管理。
Ø useradd --- 通过useradd进行用户管理,加入你要进行密码管理的话,需要安装ruby的shadow密码库,一般是ruby-libshadow。
Ø windows_adsi --- 在windows平台上使用本地用户管理。
19. roles
用户的角色,针对solaris系统适用。
20. shell
指定用户登录的shell。
21. system
指定用户是否为系统用户,一般是小于500的UID用户。
22. uid
指定用户的UID。
三、 用户管理实战
(一) Puppet用户组管理实战
1. 用户组的添加
代码如下:
node 'node1.zhang.com' {
#为该节点添加一个名字为test的组,并设置组ID为1000,如果不指定name的值,所创建的用户就为zhang。
group { "zhang":
ensure => "present",
gid => 1000,
name => "test";
}
#为该节点添加一个zhangx的组,并且设置ID和zhang一样
group { "zhangx":
ensure => "present",
gid => 1000,
allowdupe => true;
}
#为该节点删除一个zhangxx的群。
group { "zhangxx":
ensure => "absent",
}
}
2. 用户组的删除
代码如下:
node 'node1.zhang.com' {
#为该节点删除一个zhangxx的群。
group { "zhangxx":
ensure => "absent",
}
}
(二) Puppet用户管理实战
1. 用户的添加
在node1上创建一个不允许登录的并且密码为空的用户,代码如下:
user {"zhang":
ensure => "present",
shell => "/sbin/nologin";
}
创建一个carl用户,并设置用户描述为carl zhang,shell为不能登录,如果没有指定name的话就会建立和资源名一样的用户名,如果指定了name就以name指定的用户名为主。代码如下:
user {"zhang":
ensure => "present",
comment => "carl zhang",
name => "carl",
shell => "/sbin/nologin";
}
创建一个gid为2000的用户组,一会需要使用,代码如下:
group { "zhangy":
ensure => "present",
gid => 2000,
}
创建一个用户名为zhangsan的用户,并且用户ID和组ID都为2000,家目录为/home/zhangy,登录的shell为/bin/bash,密码为123456的用户。这里的密码可以使用两种方式生成,
Ø 复制/etc/shadow文件的密码部分
Ø 使用密码工具grub-md5-crypt生成,如果没有这个命令需要安
装grub的包,yum -y install grub
因为默认的创建用户的时候不会创建用户的家目录,因此这里添加了一个file资源,并指定了目录的属组和属主。
user { "zhangsan":
ensure => "present",
uid => 2000,
gid => 2000,
home => "/home/zhangy",
shell => "/bin/bash",
managehome => true,
password => '$1$U50teWsT$yc9951nTizfm3k0cc/TCg/';
}
file {"/home/zhangy":
group => 2000,
owner => 2000,
mode => 700,
ensure => directory;
}
}
2. 用户的删除
删除已经存在的用户,代码如下:
user { "zhang":
ensure => "absent",
}
四、 参考文档
http://docs.puppetlabs.com/references/latest/type.html#user
http://docs.puppetlabs.com/references/latest/type.html#group
http://www.qycn.com/news/8645.html