Diese Integrationen ermöglichen es einem Systemadministrator, den Server bequem zentral auf dem FreeIPA-Server zu konfigurieren. Wenn ein Verwaltungsbefehl auf dem Client-Rechner ausgeführt wird, sendet der FreeIPA-Client ihn an den Server, wo er ausgeführt wird.
Verwandte Inhalte
- So verwalten Sie Benutzer und Gruppen in FreeIPA Server
- So installieren Sie den FreeIPA-Client unter Rocky Linux/Alma Linux/CentOS 8
- So installieren und konfigurieren Sie FreeIPA unter Rocky Linux/Centos 8
- So installieren und konfigurieren Sie den FreeIPA-Client unter Ubuntu 20.04
- So konfigurieren Sie die FreeIPA-Replikation unter Rocky Linux/Alma Linux/Centos 8
Voraussetzungen
Um mitzumachen, stellen Sie sicher, dass Sie Folgendes haben
- Ein aktualisierter Fedora 35 Server/Workstation
- Ein IPA-Server, dem der Client beitreten wird
- Sudo-Zugriff auf den Server oder Benutzer mit Sudo-Zugriff
- Internetzugang vom Server
Inhaltsverzeichnis
- FreeIPA-Pakete installieren
- Einrichten des Clients
- Aktivieren Sie die Erstellung von Home-Verzeichnissen bei der ersten Anmeldung
- Hinzufügen von Testclients
- Verwendung des FreeIPA ipa Command Line Management Tools
- Passwortlose Authentifizierung mit privatem Schlüssel aktivieren
- Rocky Linux/Alma Linux IPA-Client entfernen
1. FreeIPA-Pakete installieren
Auf Fedora 35 Server/Workstation ist der FreeIPA-Client in den Standard-Repositorys als freeipa-client verfügbar . Suchen Sie mit diesem Befehl:
sudo dnf search freeipa-clientInstallieren Sie FreeIPA Client-Pakete mit diesem Befehl.
sudo dnf -y install freeipa-client
Bestätigen Sie das Hinzufügen des Clients mit rpm -qi Befehl
$ rpm -qi freeipa-client
Name : freeipa-client
Version : 4.9.7
Release : 2.fc35
Architecture: x86_64
Install Date: Sat 13 Nov 2021 08:22:50 AM UTC
Group : Unspecified
Size : 242563
License : GPLv3+
Signature : RSA/SHA256, Fri 15 Oct 2021 07:13:26 PM UTC, Key ID db4639719867c58f
Source RPM : freeipa-4.9.7-2.fc35.src.rpm
Build Date : Fri 15 Oct 2021 06:59:37 PM UTC
Build Host : buildvm-x86-25.iad2.fedoraproject.org
Packager : Fedora Project
Vendor : Fedora Project
URL : http://www.freeipa.org/
Bug URL : https://bugz.fedoraproject.org/freeipa
Summary : IPA authentication for use on clients
Description :
IPA is an integrated solution to provide centrally managed Identity (users,
hosts, services), Authentication (SSO, 2FA), and Authorization
(host access control, SELinux user roles, services). The solution provides
features for further integration with Linux based clients (SUDO, automount)
and integration with Active Directory based infrastructures (Trusts).
If your network uses IPA for authentication, this package should be
installed on every client machine.
This package provides command-line tools for IPA administrators.2. Client einrichten
Sobald die Installation der FreeIPA Client-Pakete abgeschlossen ist. Fügen Sie den Hostnamen und die IP-Adresse Ihres IPA-Servers zu /etc/hosts hinzu Datei, wenn Sie keine funktionierende DNS-Auflösung haben.
echo "10.2.40.149 ipa.citizix.com" | sudo tee /etc/hosts
Legen Sie Ihren System-Hostnamen fest.
sudo hostnamectl set-hostname fedora-client.citizix.comWir können dann den Client einrichten, indem wir den FreeIPA-Server und den Domänennamen angeben
sudo ipa-client-install --server=ipa.citizix.com --domain ipa.citizix.comSie können auch weitere Argumente hinzufügen, die den Hostnamen, den Server, die Domäne und den Bereich des ipa-Clients angeben, wie in diesem Beispiel.
sudo ipa-client-install --hostname=fedora-client.citizix.com \
--mkhomedir \
--server=ipa.citizix.com \
--domain ipa.citizix.com \
--realm IPA.CITIZIX.COMDas ist meine Ausgabe. Sie sollten etwas Ähnliches sehen
$ sudo ipa-client-install --server=ipa.citizix.com --domain ipa.citizix.com
This program will set up IPA client.
Version 4.9.7
Autodiscovery of servers for failover cannot work with this configuration.
If you proceed with the installation, services will be configured to always access the discovered server for all operations and will not fail over to other servers in case of failure.
Proceed with fixed values and no DNS discovery? [no]: yes
Do you want to configure chrony with NTP server or pool address? [no]: no
Client hostname: fedora-client.citizix.com
Realm: IPA.CITIZIX.COM
DNS Domain: ipa.citizix.com
IPA Server: ipa.citizix.com
BaseDN: dc=ipa,dc=citizix,dc=com
Continue to configure the system with these values? [no]: yes
Synchronizing time
No SRV records of NTP servers found and no NTP server or pool address was provided.
Using default chrony configuration.
Attempting to sync time with chronyc.
Time synchronization was successful.
User authorized to enroll computers: admin
Password for [email protected]:
Successfully retrieved CA cert
Subject: CN=Certificate Authority,O=IPA.CITIZIX.COM
Issuer: CN=Certificate Authority,O=IPA.CITIZIX.COM
Valid From: 2021-11-09 05:42:01
Valid Until: 2041-11-09 05:42:01
Enrolled in IPA realm IPA.CITIZIX.COM
Created /etc/ipa/default.conf
Configured sudoers in /etc/authselect/user-nsswitch.conf
Configured /etc/sssd/sssd.conf
Configured /etc/krb5.conf for IPA realm IPA.CITIZIX.COM
Systemwide CA database updated.
Hostname (fedora-client.citizix.com) does not have A/AAAA record.
Failed to update DNS records.
Missing A/AAAA record(s) for host fedora-client.citizix.com: 10.2.40.174.
Incorrect reverse record(s):
10.2.40.174 is pointing to ip-10-2-40-174.us-west-2.compute.internal. instead of fedora-client.citizix.com.
Adding SSH public key from /etc/ssh/ssh_host_rsa_key.pub
Adding SSH public key from /etc/ssh/ssh_host_dsa_key.pub
Adding SSH public key from /etc/ssh/ssh_host_ecdsa_key.pub
Adding SSH public key from /etc/ssh/ssh_host_ed25519_key.pub
Could not update DNS SSHFP records.
SSSD enabled
Configured /etc/openldap/ldap.conf
Configured /etc/ssh/ssh_config
Configured /etc/ssh/sshd_config.d/04-ipa.conf
Configuring ipa.citizix.com as NIS domain.
Client configuration complete.
The ipa-client-install command was successful3. Aktivieren Sie die Erstellung von Home-Verzeichnissen bei der ersten Anmeldung
Wenn das Home-Verzeichnis des Nutzers nicht automatisch erstellt wird, aktivieren Sie diese Funktion, indem Sie den folgenden Befehl ausführen. Dadurch wird bei der ersten Anmeldung ein Home-Verzeichnis erstellt.
$ sudo authselect enable-feature with-mkhomedir
Make sure that SSSD service is configured and enabled. See SSSD documentation for more information.
- with-mkhomedir is selected, make sure pam_oddjob_mkhomedir module
is present and oddjobd service is enabled and active
- systemctl enable --now oddjobd.service
$ sudo systemctl enable --now oddjobd
Created symlink /etc/systemd/system/multi-user.target.wants/oddjobd.service → /usr/lib/systemd/system/oddjobd.service.4. Test-Client-Zusatz
Um zu testen, ob der Client erfolgreich hinzugefügt wurde, melden wir uns mit einem Benutzer in freeipa an. Wenn Sie sich zum ersten Mal anmelden, sollten Sie eine Aufforderung zum Ändern des Passworts sehen, andernfalls sehen Sie Folgendes:
$ ssh [email protected]
([email protected]) Password:
Last login: Sat Nov 13 08:29:12 2021 from 10.2.40.174
[[email protected] ~]$5. Verwendung des FreeIPA ipa Command Line Management Tools
Sie können FreeIPA Server vom Client-Rechner aus mit dem ipa-Befehlszeilentool verwalten.
Fordern Sie zunächst ein Kerberos-Ticket an.
$ kinit admin Password for [email protected]:
Überprüfen Sie die Informationen zum Ticketablauf mit klist.
$ klist Ticket cache: KCM:1000 Default principal: [email protected] Valid starting Expires Service principal 11/12/2021 21:27:59 11/13/2021 21:27:47 krbtgt/[email protected]
Testen Sie, indem Sie ein Benutzerkonto hinzufügen und vorhandene Konten auflisten:
$ sudo ipa user-add kip \
--first=Kipkoech \
--last=Towett \
[email protected] \
--password
Password:
Enter Password again to verify:
----------------
Added user "kip"
----------------
User login: kip
First name: Kipkoech
Last name: Towett
Full name: Kipkoech Towett
Display name: Kipkoech Towett
Initials: KT
Home directory: /home/kip
GECOS: Kipkoech Towett
Login shell: /bin/bash
Principal name: [email protected]
Principal alias: [email protected]
User password expiration: 20211112183007Z
Email address: [email protected]
UID: 1063800003
GID: 1063800003
Password: True
Member of groups: ipausers
Kerberos keys available: TrueBestätigen.
$ ipa user-find kip -------------- 1 user matched -------------- User login: kip First name: Kipkoech Last name: Towett Home directory: /home/kip Login shell: /bin/bash Principal name: [email protected] Principal alias: [email protected] Email address: [email protected] UID: 1063800003 GID: 1063800003 Account disabled: False ---------------------------- Number of entries returned 1 ----------------------------
6. Aktivieren Sie die passwortlose Authentifizierung mit privatem Schlüssel
Wenn Sie sich ohne Passwort bei einem Server authentifizieren möchten, kopieren Sie Ihren öffentlichen Schlüssel auf den FreeIPA-Server. Klicken Sie im Nutzerprofil auf Hinzufügen Schaltfläche unter „Öffentliche SSH-Schlüssel “, fügen Sie Ihren öffentlichen Schlüssel in das Feld ein und speichern Sie.
7. Entfernen des Fedora 35 IPA-Clients
Das Entfernen des FreeIPA-Clients auf Rocky Linux/Alma Linux 8 kann durch Ausführen des folgenden Befehls erfolgen:
$ sudo ipa-client-install --uninstall
Schlussfolgerung
In diesem Handbuch haben wir es geschafft, den FreeIPA-Client auf einem Fedora 35 zu installieren und einzurichten.