GNU/Linux >> LINUX-Kenntnisse >  >> Ubuntu

So installieren und konfigurieren Sie den FreeIPA-Client unter Ubuntu 20.04

FreeIPA ist ein Open-Source-Identitätsverwaltungssystem, das von Red Hat gesponsert wird. Es zielt darauf ab, eine leicht zu verwaltende Identität, Richtlinie und Prüfung bereitzustellen.

Diese Integrationen ermöglichen es einem Systemadministrator, den Server bequem zentral auf dem FreeIPA-Server zu konfigurieren. Wenn ein Verwaltungsbefehl auf dem Client-Rechner ausgeführt wird, sendet der FreeIPA-Client ihn an den Server, wo er ausgeführt wird.

Verwandte Inhalte

  • So verwalten Sie Benutzer und Gruppen in FreeIPA Server
  • So installieren Sie den FreeIPA-Client unter Rocky Linux/Alma Linux/CentOS 8
  • So installieren und konfigurieren Sie FreeIPA unter Rocky Linux/Centos 8
  • So installieren Sie den FreeIPA-Client auf Fedora 35

Voraussetzungen

Um mitzumachen, stellen Sie sicher, dass Sie Folgendes haben

  • Ein aktualisierter Ubuntu 20.04 Server/Workstation
  • Ein FreeIPA-Server, dem der Client beitritt
  • Sudo-Zugriff auf den Server oder Benutzer mit Sudo-Zugriff
  • Internetzugang vom Server

Inhaltsverzeichnis

  1. System aktualisieren
  2. FreeIPA-Pakete installieren
  3. Einrichten des Clients
  4. Aktivieren Sie die Erstellung von Home-Verzeichnissen bei der ersten Anmeldung
  5. Hinzufügen von Testclients
  6. Verwendung des FreeIPA ipa Command Line Management Tools
  7. Passwortlose Authentifizierung mit privatem Schlüssel aktivieren
  8. Entfernen des FreeIPA-Clients

1. System aktualisieren

Stellen Sie sicher, dass die Systempakete aktualisiert sind

sudo apt update
sudo apt upgrade

2. FreeIPA-Pakete installieren

Der FreeIPA-Client ist in Repositories für Ubuntu verfügbar. Installieren Sie es mit dem Befehl:

sudo apt install -y freeipa-client

Wenn Sie aufgefordert werden, einen Kerberos-Realm für den Server bereitzustellen, überspringen Sie dies einfach, indem Sie <Enter>  drücken Schlüssel.

Bestätigen Sie das Hinzufügen des Clients mit diesem Befehl

$ apt-cache policy freeipa-client
freeipa-client:
  Installed: 4.8.6-1ubuntu2
  Candidate: 4.8.6-1ubuntu2
  Version table:
 *** 4.8.6-1ubuntu2 500
        500 http://us-west-2.ec2.archive.ubuntu.com/ubuntu focal/universe amd64 Packages
        100 /var/lib/dpkg/status

2. Client einrichten

Sobald die Installation der FreeIPA Client-Pakete abgeschlossen ist. Fügen Sie den Hostnamen und die IP-Adresse Ihres IPA-Servers zu /etc/hosts  hinzu Datei, wenn Sie keine funktionierende DNS-Auflösung haben.

Öffnen Sie die Hosts-Datei mit Ihrem Client:

sudo vim /etc/hosts

Dann fügen Sie Folgendes hinzu:

10.2.40.149 ipa.citizix.com
10.2.40.70 ubuntu-client.citizix.com

Legen Sie Ihren System-Hostnamen fest.

sudo hostnamectl set-hostname ubuntu-client.citizix.com

Aktualisieren Sie die Zeitzone auf Ihre Zeitzone:

sudo timedatectl set-timezone Africa/Nairobi

Wir können dann den Client einrichten, indem wir den FreeIPA-Server und den Domänennamen angeben

sudo ipa-client-install --server=ipa.citizix.com --domain ipa.citizix.com

Sie können auch weitere Argumente hinzufügen, die den Hostnamen, den Server, die Domäne und den Bereich des ipa-Clients angeben, wie in diesem Beispiel.

sudo ipa-client-install --hostname=fedora-client.citizix.com \
 --mkhomedir \
 --server=ipa.citizix.com \
 --domain ipa.citizix.com \
 --realm IPA.CITIZIX.COM

Das ist meine Ausgabe. Sie sollten etwas Ähnliches sehen

$ sudo ipa-client-install --server=ipa.citizix.com --domain ipa.citizix.com
This program will set up FreeIPA client.
Version 4.8.6

WARNING: conflicting time&date synchronization service 'ntp' will be disabled in favor of chronyd

Autodiscovery of servers for failover cannot work with this configuration.
If you proceed with the installation, services will be configured to always access the discovered server for all operations and will not fail over to other servers in case of failure.
Proceed with fixed values and no DNS discovery? [no]: yes
Do you want to configure chrony with NTP server or pool address? [no]: no
Client hostname: ubuntu-client.citizix.com
Realm: IPA.CITIZIX.COM
DNS Domain: ipa.citizix.com
IPA Server: ipa.citizix.com
BaseDN: dc=ipa,dc=citizix,dc=com

Continue to configure the system with these values? [no]: yes
Synchronizing time
No SRV records of NTP servers found and no NTP server or pool address was provided.
Using default chrony configuration.
Attempting to sync time with chronyc.
Time synchronization was successful.
User authorized to enroll computers: admin
Password for [email protected]:
Successfully retrieved CA cert
    Subject:     CN=Certificate Authority,O=IPA.CITIZIX.COM
    Issuer:      CN=Certificate Authority,O=IPA.CITIZIX.COM
    Valid From:  2021-11-09 05:42:01
    Valid Until: 2041-11-09 05:42:01

Enrolled in IPA realm IPA.CITIZIX.COM
Created /etc/ipa/default.conf
Configured sudoers in /etc/nsswitch.conf
Configured /etc/sssd/sssd.conf
Configured /etc/krb5.conf for IPA realm IPA.CITIZIX.COM
Systemwide CA database updated.
Adding SSH public key from /etc/ssh/ssh_host_rsa_key.pub
Adding SSH public key from /etc/ssh/ssh_host_ecdsa_key.pub
Adding SSH public key from /etc/ssh/ssh_host_ed25519_key.pub
Adding SSH public key from /etc/ssh/ssh_host_dsa_key.pub
Could not update DNS SSHFP records.
SSSD enabled
Configured /etc/openldap/ldap.conf
Configured /etc/ssh/ssh_config
Configured /etc/ssh/sshd_config
Configuring ipa.citizix.com as NIS domain.
Client configuration complete.
The ipa-client-install command was successful

3. Aktivieren Sie die Erstellung von Home-Verzeichnissen bei der ersten Anmeldung

Standardmäßig erstellt der sssd-Dienst kein Home-Verzeichnis für den Benutzer bei der ersten Anmeldung, wir müssen diese Funktion aktivieren, indem wir die PAM-Konfigurationsdatei ändern.

sudo bash -c "cat > /usr/share/pam-configs/mkhomedir" <<EOF
Name: activate mkhomedir
Default: yes
Priority: 900
Session-Type: Additional
Session:
required pam_mkhomedir.so umask=0022 skel=/etc/skel
EOF

Führen Sie dann Folgendes aus:

sudo pam-auth-update

Stellen Sie sicher,  "mkhomedir aktivieren" ausgewählt ist, sollte dort [*]. stehen Wählen Sie  aus .

4. Test-Client-Zusatz

Um zu testen, ob der Client erfolgreich hinzugefügt wurde, melden wir uns mit einem Benutzer in freeipa an. Wenn Sie sich zum ersten Mal anmelden, sollten Sie eine Aufforderung zum Ändern des Passworts sehen, andernfalls sehen Sie Folgendes:

$ ssh [email protected]
([email protected]) Password:
Last login: Sat Nov 13 08:29:12 2021 from 10.2.40.174

[[email protected] ~]$

5. Verwendung des FreeIPA ipa Command Line Management Tools

Sie können FreeIPA Server vom Client-Rechner aus mit dem ipa-Befehlszeilentool verwalten.

Fordern Sie zunächst ein Kerberos-Ticket an.

$ kinit admin
Password for [email protected]:

Überprüfen Sie die Informationen zum Ticketablauf mit klist. 

$ klist
Ticket cache: KEYRING:persistent:1000:1000
Default principal: [email protected]

Valid starting     Expires            Service principal
11/14/21 16:40:33  11/15/21 16:40:16  krbtgt/[email protected]

Testen Sie, indem Sie ein Benutzerkonto hinzufügen und vorhandene Konten auflisten:

$ sudo ipa user-add kip \
     --first=Kipkoech \
     --last=Towett \
     [email protected] \
     --password

Password:
Enter Password again to verify:
----------------
Added user "kip"
----------------
  User login: kip
  First name: Kipkoech
  Last name: Towett
  Full name: Kipkoech Towett
  Display name: Kipkoech Towett
  Initials: KT
  Home directory: /home/kip
  GECOS: Kipkoech Towett
  Login shell: /bin/bash
  Principal name: [email protected]
  Principal alias: [email protected]
  User password expiration: 20211112183007Z
  Email address: [email protected]
  UID: 1063800003
  GID: 1063800003
  Password: True
  Member of groups: ipausers
  Kerberos keys available: True

Bestätigen.

$ ipa user-find kip
--------------
1 user matched
--------------
  User login: kip
  First name: Kipkoech
  Last name: Towett
  Home directory: /home/kip
  Login shell: /bin/bash
  Principal name: [email protected]
  Principal alias: [email protected]
  Email address: [email protected]
  UID: 1063800003
  GID: 1063800003
  Account disabled: False
----------------------------
Number of entries returned 1
----------------------------

6. Aktivieren Sie die passwortlose Authentifizierung mit privatem Schlüssel

Wenn Sie sich ohne Passwort bei einem Server authentifizieren möchten, kopieren Sie Ihren öffentlichen Schlüssel auf den FreeIPA-Server. Klicken Sie im Nutzerprofil auf Hinzufügen  Schaltfläche unter „Öffentliche SSH-Schlüssel “, fügen Sie Ihren öffentlichen Schlüssel in das Feld ein und speichern Sie.

7. Entfernen des FreeIPA-Clients

Das Entfernen des FreeIPA-Clients auf Ubuntu kann durch Ausführen des folgenden Befehls erfolgen:

$ sudo ipa-client-install  --uninstall

Schlussfolgerung

In diesem Handbuch ist es uns gelungen, den FreeIPA-Client auf einem Ubuntu 20.04 zu installieren und einzurichten.


Ubuntu

  1. So installieren und konfigurieren Sie Redis unter Ubuntu 18.04

  2. So installieren und konfigurieren Sie Redmine unter Ubuntu 18.04

  3. So installieren und konfigurieren Sie Samba unter Ubuntu 18.04

  4. So installieren und konfigurieren Sie Redis unter Ubuntu 20.04

  5. So installieren und konfigurieren Sie den FreeIPA-Client unter Ubuntu 20.04

So installieren und konfigurieren Sie OpenVAS 9 unter Ubuntu

So installieren und konfigurieren Sie Redis in Ubuntu 20.04

So installieren und konfigurieren Sie Neo4j unter Ubuntu 20.04

So installieren und konfigurieren Sie NFS unter Ubuntu 22.04/20.04

So installieren und konfigurieren Sie Ubuntu SDK in Ubuntu 16.04 und 14.04

So installieren und konfigurieren Sie PostgreSQL unter Ubuntu