FreeIPA ist eine kostenlose und von RedHat gesponserte Open Source Identity, Policy, and Audit (IPA) Suite. Es ist eine IPA-Lösungskombination aus Linux (Fedora), 389 Directory Server, MIT Kerberos, NTP, DNS Bind, Dogtag, Apache Webserver und Python.
In unserer vorherigen Anleitung haben wir Ihnen bereits die Installation und Konfiguration von FreeIPA auf dem CentOS 7-Server gezeigt. Diese Anleitung zeigt Ihnen jedoch die Installation und Konfiguration des FreeIPA-Clients.
Derzeit hat FreeIPA Client-Pakete für CentOS 7, Fedora und Ubuntu. Und für dieses Handbuch werden wir den FreeIPA-Client auf dem Ubuntu 18.04 Bionic Beaver-Server installieren und konfigurieren.
Voraussetzungen
- Server mit installiertem FreeIPA-Server.
- Ubuntu 18.04 Bionic Beaver
- Root-Rechte
Was werden wir tun?
- Client-DNS-Eintrag hinzufügen
- Richten Sie den Client-DNS-Resolver ein
- FQDN einrichten
- Installieren Sie den FreeIPA-Client auf Ubuntu 18.04
- Basisverzeichnis automatisch erstellen aktivieren
- Überprüfen Sie die Installation des FreeIPA-Clients
- Testen
Schritt 1 – Client-DNS-Eintrag hinzufügen
Zunächst müssen wir den DNS-Eintrag des Client-Hosts zum FreeIPA-Server hinzufügen.
Melden Sie sich beim FreeIPA-Server an und authentifizieren Sie sich beim Kerberos-Administrator mit dem folgenden Befehl.
kinit admin
TYPE YOUR PASSWORD
Fügen Sie danach den DNS-Eintrag des Client-Hosts zum FreeIPA-Server hinzu.
ipa dnsrecord-add hakase-labs.io client1 --a-rec 10.9.9.16
Schritt 2 – DNS-Resolver einrichten
Um den Client mit dem DNS-Autodiscovery-Setup zu konfigurieren, müssen wir den Client-DNS-Resolver bearbeiten, um die IP-Adresse des FreeIPA-Servers als Nameserver zu verwenden.
Bearbeiten Sie die Datei „/etc/resolv.conf“.
vim /etc/resolv.conf
Ersetzen Sie den Domänennamen und die IP-Adresse durch Ihren eigenen FreeIPA-Server und fügen Sie ihn ein.
search hakase-labs.io
nameserver 10.9.9.15
Schritt 3 – FQDN einrichten
Nach der Konfiguration des DNS-Resolvers müssen wir den FQDN (Fully Qualified Domain Name) des Client-Hosts konfigurieren. Fügen Sie dann die IP-Adresse und den Domänennamen des FreeIPA-Servers zur Datei „/etc/hosts“ hinzu.
Ändern Sie den FQDN des Clients, indem Sie den folgenden Befehl ausführen.
hostnamectl set-hostname client1.hakase-labs.io
Bearbeiten Sie als Nächstes die Datei „/etc/hosts“ mit dem vim-Editor.
vim /etc/hosts
Nehmen Sie die folgende Änderung in der Konfiguration vor und fügen Sie sie ein.
10.9.9.15 ipa.hakase-labs.io ipa
10.9.9.16 client1.hakase-labs.io client1
Speichern und schließen Sie dann den Befehl „exit“, um sich vom Server abzumelden.
Melden Sie sich jetzt erneut am Server an und überprüfen Sie den FQDN mit dem folgenden Befehl.
hostname -f
Schritt 4 - FreeIPA-Client-Pakete installieren
Standardmäßig stellt Ubuntu FreeIPA-Client-Pakete in seinem eigenen Repository bereit. Wir können also FreeIPA-Client-Pakete installieren, indem wir einfach den folgenden Befehl unten ausführen.
sudo apt-get install freeipa-client oddjob-mkhomedir -y
Führen Sie danach die FreeIPA-Client-Befehlsinstallation unten aus.
ipa-client-install --mkhomedir --no-ntp
Geben Sie „Ja“ ein, um Systemänderungen mithilfe von Profilwerten anzuwenden, die aus der automatischen DNS-Erkennung generiert wurden. Sobald die Installation abgeschlossen ist, erhalten Sie ein Ergebnis wie „Der ipa-client-install-Befehl war erfolgreich“.
Zusätzlich:
- Wenn Sie mit dem Autodiscovery-Host fehlschlagen, stellen Sie sicher, dass sich das DNS des FreeIPA-Servers in der obersten Zeile der Datei „/etc/resolv.conf“ befindet, und stellen Sie sicher, dass der DNS-Port „53“ auf dem Server geöffnet ist.
- Wenn während des Beitrittsprozesses zum FreeIPA-Server ein Fehler auftritt, können Sie die Option '--force-join' verwenden.
Schritt 5 – Automatisches Erstellen des Home-Verzeichnisses einrichten
Auf Ubuntu-Servern funktioniert das automatisch erstellte Home-Verzeichnis für jeden Benutzer zu Beginn nicht. Sogar die Installation des ipa-Clients mit der Option '--mkhomedir'.
Damit dieses Ding auf dem Ubuntu-Server funktioniert, müssen wir zusätzliche Pakete installieren und zusätzliche PAM-Konfigurationen (Pluggable Authentication Modules) hinzufügen.
Die zusätzlichen Pakete wurden oben installiert, also müssen wir nur eine neue PAM-Konfiguration erstellen.
Fügen Sie eine neue PAM-Konfiguration hinzu, um das Home-Verzeichnis automatisch zu erstellen, indem Sie den folgenden Befehl ausführen.
cat > /usr/share/pam-configs/mkhomedir <<EOF
Name: create home directory FreeIPA
Default: yes
Priority: 900
Session-Type: Additional
Session:
required pam_mkhomedir.so umask=0022 skel=/etc/skel
EOF
Wenden Sie danach die neue PAM-Konfiguration an.
sudo pam-auth-update
Jetzt erstellen alle Benutzer, die sich mit dem FreeIPA-Benutzer beim Client-Host anmelden, automatisch das Home-Verzeichnis.
Schritt 6 – Installation des FreeIPA-Clients überprüfen
Nach der Installation und Konfiguration des FreeIPA-Clients möchten wir dies überprüfen, indem wir die Client-Hosts vom FreeIPA-Server überprüfen.
Führen Sie den folgenden Befehl auf dem FreeIPA-Server aus.
ipa host-show client1.hakase-labs.io
Ändern Sie den Namen des Gastgebers mit Ihren eigenen Informationen, und Ihnen werden Ihre Gastgeberinformationen angezeigt.
Darüber hinaus möchten wir erneut über das FreeIPA-Web-UI-Dashboard nachsehen.
Melden Sie sich beim FreeIPA-Dashboard an und klicken Sie auf die Registerkarte „Hosts“. Und Ihnen werden Ihre eigenen Gastgeberinformationen angezeigt.
Schritt 7 - FreeIPA-Client testen
In diesem Beispiel möchten wir die Installation des FreeIPA-Clients testen, indem wir einen neuen Benutzer auf dem FreeIPA-Server erstellen.
Führen Sie den folgenden Befehl aus, um einen neuen Benutzer zu erstellen.
ipa user-add misaka --first=misaka --last=mikoto [email protected] --shell=/bin/bash --password
Versuchen Sie danach, sich über SSH vom FreeIPA-Server beim Client-Host anzumelden.
ssh [email protected]
Und schließlich werden Sie mit dem kürzlich erstellten FreeIPA-Benutzer beim Client angemeldet.
Links
- https://www.freeipa.org/page/Documentation