puppet aix之自动化用户管理

一、    用户组的管理

(一)   Puppet组管理特性

1. 1.   manages_aix_lam

用来管理AIX的LAM(Loadable Authentication Module)系统。

1. 2.   manages_members

对于目录服务是组属性成员，而不是用户。

1. 3.   system_groups

用来允许你创建比较小GID的系统组，一般小于500。

(二)   Puppet组管理参数

1. allowdupe

是否允许重复的GIDS，默认是false。

1. attributes

在一个key=>value对中指定AIX组的属性，需要manages_aix_lam特性。

1. ensure

创建或者删除组，值为present、absent。

1. gid

组ID，如果不指定的话会自动生成一个数字，但是不建议这么做。

1. ia_load_module

使用I&A模块来管理用户，同样需要manages_aix_lam特性。

1. members

用来指定组的成员。

1. name

指定组的名字。

1. provider

使用group资源的后端。这些后端包括：

• aix --- AIX的组管理。
• directoryservice --- 在OS X上使用目录服务进行组管理。
• groupadd --- 使用groupadd管理组，大部分的平台默认识用这个来管理。
• ldap --- 通过ldap进行组管理。
• pw --- 在freebsd平台上通过pw进行组管理。
• windows_adsi --- 在windows平台上使用本地用户管理。

1. system

指定组是否是小GID的系统组。

二、    用户的管理

(一)   Puppet组管理特性

1. 1.   allows_duplicates

支持含有相同UID的用户。

1. 2.   manages_aix_lam

用来管理AIX的LAM(Loadable Authentication Module)系统。

1. 3.   manages_expiry

管理一个用户使用的有效期。

1. 4.   manages_homedir

创建或者删除用户的家目录。

1. 5.   manages_password_age

设置密码时间需求和限制。

1. 6.   manages_passwords

更改用户的密码，通过传入密码hash字串，后面实战部分会详细介绍。

1. 7.   manages_solaris_rbac

管理角色和普通用户。

1. 8.   system_users

用来允许你创建比较小GID的系统用户，一般小于500。

 

(二)   Puppet组管理参数

1. allowdupe

是否允许重复的UID。

1. attributes

为用户指定AIX属性，需要manages_aix_lam特性。

1. auths

指定用户的认证方式。

1. comment

用户的描述。

1. ensure

指定用户所处的基本状态。其值可以为：present、absent、role。

1. expiry

用户使用期限。

1. gid

设置用户的组ID。可以是数字也可以是组名。

1. groups

设置用户的组名，只能是组名，不能是GID。

1. home

设置用户的家目录。

1. ia_load_module

使用I&A模块来管理用户，同样需要manages_aix_lam特性。

1. managehome

当进行用户管理的时候，是否同时管理用户的家目录。

1. name

指定用户名。

1. password

指定用户的密码，后面的实战部分会详细讲解。

1. password_max_age

一个密码在必须更改之前能使用的最多天数。

1. password_min_age

一个密码在必须更改之前能使用的最少天数。

1. profiles

指定用户拥有的配置文件。

1. project

和用户相关的项目的名字，需要manages_solaris_rbac特性。

1. provider

使用user资源的后端。这些后端包括：

• aix --- AIX的用户管理。
• directoryservice --- 在OS X上使用目录服务进行用户管理。
• Hpuxuseradd --- HP-UX的用户管理。
• ldap --- 通过ldap进行用户管理。
• pw --- 在freebsd平台上通过pw进行用户管理。
• user_role_add --- solaris的用户和角色管理。
• useradd --- 通过useradd进行用户管理，加入你要进行密码管理的话，需要安装ruby的shadow密码库，一般是ruby-libshadow。
• windows_adsi --- 在windows平台上使用本地用户管理。

1. roles

用户的角色，针对solaris系统适用。

1. shell

指定用户登录的shell。

1. system

指定用户是否为系统用户，一般是小于500的UID用户。

1. uid

指定用户的UID。

三、    用户管理实战

(一)     Puppet用户组管理实战

1. 用户组的添加

代码如下：

node 'node1.zhang.com' {

#为该节点添加一个名字为test的组，并设置组ID为1000，如果不指定name的值，所创建的用户就为zhang。

group { "zhang":

ensure => "present",

gid => 1000,

name => "test";

}

#为该节点添加一个zhangx的组，并且设置ID和zhang一样

group { "zhangx":

ensure => "present",

gid => 1000,

allowdupe => true;

}

#为该节点删除一个zhangxx的群。

group { "zhangxx":

ensure => "absent",

}

}

1. 用户组的删除

代码如下:

node 'node1.zhang.com' {

#为该节点删除一个zhangxx的群。

group { "zhangxx":

ensure => "absent",

}

}

(二)     Puppet用户管理实战

1. 用户的添加

在node1上创建一个不允许登录的并且密码为空的用户，代码如下：

user {"zhang":

ensure => "present",

shell => "/sbin/nologin";

}

创建一个carl用户，并设置用户描述为carl zhang,shell为不能登录，如果没有指定name的话就会建立和资源名一样的用户名，如果指定了name就以name指定的用户名为主。代码如下：

user {"zhang":

ensure => "present",

comment => "carl zhang",

name => "carl",

shell => "/sbin/nologin";

}

创建一个gid为2000的用户组，一会需要使用，代码如下：

group { "zhangy":

ensure => "present",

gid => 2000,

}

创建一个用户名为zhangsan的用户，并且用户ID和组ID都为2000，家目录为/home/zhangy,登录的shell为/bin/bash，密码为123456的用户。这里的密码可以使用两种方式生成，

• 复制/etc/shadow文件的密码部分
• 使用密码工具grub-md5-crypt生成，如果没有这个命令需要安

装grub的包，yum -y install grub

因为默认的创建用户的时候不会创建用户的家目录，因此这里添加了一个file资源，并指定了目录的属组和属主。

user { "zhangsan":

ensure => "present",

uid => 2000,

gid => 2000,

home => "/home/zhangy",

shell => "/bin/bash",

managehome => true,

password => '$1$U50teWsT$yc9951nTizfm3k0cc/TCg/';

}

file {"/home/zhangy":

group => 2000,

owner => 2000,

mode => 700,

ensure => directory;

}

}

1. 用户的删除

删除已经存在的用户，代码如下：

user { "zhang":

ensure => "absent",

}