Jak nainstalovat a nakonfigurovat klienta FreeIPA na Ubuntu 20.04

FreeIPA je open source systém správy identit sponzorovaný společností Red Hat. Jeho cílem je poskytnout snadno spravovanou identitu, zásady a audit.

Tato integrace umožňuje správci systému pohodlně nakonfigurovat server centrálně na serveru FreeIPA. Když je na klientském počítači spuštěn příkaz pro správu, klient FreeIPA jej odešle na server, kde je spuštěn.

Související obsah

• Jak spravovat uživatele a skupiny na serveru FreeIPA
• Jak nainstalovat klienta FreeIPA na Rocky Linux/Alma Linux/CentOS 8
• Jak nainstalovat a nakonfigurovat FreeIPA na Rocky Linux/Centos 8
• Jak nainstalovat klienta FreeIPA na Fedora 35

Předpoklady

Chcete-li pokračovat, ujistěte se, že máte následující

• Aktualizovaný server/pracovní stanice Ubuntu 20.04
• Server FreeIPA, ke kterému se klient připojí
• Přístup sudo k serveru nebo uživateli s přístupem sudo
• Přístup k internetu ze serveru

Obsah

1. Aktualizovat systém
2. Instalace balíčků FreeIPA
3. Nastavení klienta
4. Povolit vytváření domovských adresářů při prvním přihlášení
5. Přidání testovacího klienta
6. Použití nástroje pro správu příkazového řádku FreeIPA ipa
7. Povolte ověřování bez hesla pomocí soukromého klíče
8. Odebrání klienta FreeIPA

1. Aktualizovat systém

Ujistěte se, že jsou systémové balíčky aktualizovány

sudo apt update
sudo apt upgrade 

2. Instalace balíčků FreeIPA

Klient FreeIPA je k dispozici na úložištích pro Ubuntu. Nainstalujte jej pomocí příkazu:

sudo apt install -y freeipa-client 

Až budete vyzváni k zadání sféry Kerberos pro server, stačí přeskočit stisknutím <Enter>  klíč.

Potvrďte přidání klienta pomocí tohoto příkazu

$ apt-cache policy freeipa-client
freeipa-client:
  Installed: 4.8.6-1ubuntu2
  Candidate: 4.8.6-1ubuntu2
  Version table:
 *** 4.8.6-1ubuntu2 500
        500 http://us-west-2.ec2.archive.ubuntu.com/ubuntu focal/universe amd64 Packages
        100 /var/lib/dpkg/status 

2. Nastavení klienta

Po dokončení instalace klientských balíčků FreeIPA. Přidejte název hostitele a IP adresu svého serveru IPA do složky /etc/hosts  pokud nemáte funkční překlad DNS.

Otevřete soubor hosts se svým klientem:

sudo vim /etc/hosts 

Potom připojte toto:

10.2.40.149 ipa.citizix.com10.2.40.70 ubuntu-client.citizix.com

Nastavte název hostitele systému.

sudo hostnamectl set-hostname ubuntu-client.citizix.com 

Aktualizujte časové pásmo na své časové pásmo:

sudo timedatectl set-timezone Africa/Nairobi 

Poté můžeme nastavit klienta s uvedením serveru FreeIPA a názvu domény

sudo ipa-client-install --server=ipa.citizix.com --domain ipa.citizix.com 

Můžete také přidat další argumenty určující název hostitele klienta ipa, server, doménu a sféru jako v tomto příkladu.

sudo ipa-client-install --hostname=fedora-client.citizix.com \
 --mkhomedir \
 --server=ipa.citizix.com \
 --domain ipa.citizix.com \
 --realm IPA.CITIZIX.COM 

Toto je můj výstup. Měli byste vidět něco podobného

$ sudo ipa-client-install --server=ipa.citizix.com --domain ipa.citizix.com
This program will set up FreeIPA client.
Version 4.8.6

WARNING: conflicting time&date synchronization service 'ntp' will be disabled in favor of chronyd

Autodiscovery of servers for failover cannot work with this configuration.
If you proceed with the installation, services will be configured to always access the discovered server for all operations and will not fail over to other servers in case of failure.
Proceed with fixed values and no DNS discovery? [no]: yes
Do you want to configure chrony with NTP server or pool address? [no]: no
Client hostname: ubuntu-client.citizix.com
Realm: IPA.CITIZIX.COM
DNS Domain: ipa.citizix.com
IPA Server: ipa.citizix.com
BaseDN: dc=ipa,dc=citizix,dc=com

Continue to configure the system with these values? [no]: yes
Synchronizing time
No SRV records of NTP servers found and no NTP server or pool address was provided.
Using default chrony configuration.
Attempting to sync time with chronyc.
Time synchronization was successful.
User authorized to enroll computers: admin
Password for [email protected]:
Successfully retrieved CA cert
    Subject:     CN=Certificate Authority,O=IPA.CITIZIX.COM
    Issuer:      CN=Certificate Authority,O=IPA.CITIZIX.COM
    Valid From:  2021-11-09 05:42:01
    Valid Until: 2041-11-09 05:42:01

Enrolled in IPA realm IPA.CITIZIX.COM
Created /etc/ipa/default.conf
Configured sudoers in /etc/nsswitch.conf
Configured /etc/sssd/sssd.conf
Configured /etc/krb5.conf for IPA realm IPA.CITIZIX.COM
Systemwide CA database updated.
Adding SSH public key from /etc/ssh/ssh_host_rsa_key.pub
Adding SSH public key from /etc/ssh/ssh_host_ecdsa_key.pub
Adding SSH public key from /etc/ssh/ssh_host_ed25519_key.pub
Adding SSH public key from /etc/ssh/ssh_host_dsa_key.pub
Could not update DNS SSHFP records.
SSSD enabled
Configured /etc/openldap/ldap.conf
Configured /etc/ssh/ssh_config
Configured /etc/ssh/sshd_config
Configuring ipa.citizix.com as NIS domain.
Client configuration complete.
The ipa-client-install command was successful 

3. Povolte vytváření domovských adresářů při prvním přihlášení

Ve výchozím nastavení služba sssd nevytvoří domovský adresář pro uživatele při prvním přihlášení, musíme tuto funkci povolit úpravou konfiguračního souboru PAM.

sudo bash -c "cat> /usr/share/pam-configs/mkhomedir" < 

 Poté spusťte:
 
sudo pam-auth-update 
 

 Ujistěte se, že  „aktivovat mkhomedir“ je vybráno, mělo by mít [*]. Vyberte  .
 
4. Přidání testovacího klienta
 

 Chcete-li otestovat, že byl klient úspěšně přidán, přihlaste se s uživatelem ve freeipa. Pokud se přihlašujete poprvé, měli byste vidět výzvu ke změně hesla, jinak uvidíte toto:
 
$ ssh [email protected]
([email protected]) Password:
Last login: Sat Nov 13 08:29:12 2021 from 10.2.40.174

[[email protected] ~]$ 
 
5. Použití nástroje pro správu příkazového řádku FreeIPA ipa
 

 Server FreeIPA můžete spravovat z klientského počítače pomocí nástroje příkazového řádku ipa.
 

 Nejprve získejte lístek Kerberos.
 
$ kinit adminHeslo pro [email protected]:
 

 Zkontrolujte informace o vypršení platnosti vstupenky pomocí klist. 
 
$ klist Mezipaměť lístků:KEYRING:persistent:1000:1000Výchozí objekt:[chráněno e-mailem]Platné počínaje Expires Principal služby11/14/21 16:40:33 11/15/21 16:40:16 krbtgt/[e-mail chráněn] 
 

 Otestujte přidáním uživatelského účtu a seznamem přítomných účtů:
 
$ sudo ipa user-add kip \
     --first=Kipkoech \
     --last=Towett \
     [email protected] \
     --password

Password:
Enter Password again to verify:
----------------
Added user "kip"
----------------
  User login: kip
  First name: Kipkoech
  Last name: Towett
  Full name: Kipkoech Towett
  Display name: Kipkoech Towett
  Initials: KT
  Home directory: /home/kip
  GECOS: Kipkoech Towett
  Login shell: /bin/bash
  Principal name: [email protected]
  Principal alias: [email protected]
  User password expiration: 20211112183007Z
  Email address: [email protected]
  UID: 1063800003
  GID: 1063800003
  Password: True
  Member of groups: ipausers
  Kerberos keys available: True 
 

 Ověřte.
 
$ ipa user-find kip--------------1 odpovídající uživatel-------------- Přihlášení uživatele:kip Jméno:Kipkoech Příjmení :Domovský adresář Towett:/home/kip Přihlašovací shell:/bin/bash Hlavní jméno:[chráněno e-mailem] Hlavní alias:[chráněno e-mailem] E-mailová adresa:[chráněno e-mailem] UID:1063800003 GID:1063800003 Účet deaktivován:False--- -------------------------- Počet vrácených záznamů 1--------------------- --------
 
6. Povolte ověřování bez hesla pomocí soukromého klíče
 

 Pokud se chcete autentizovat na serveru bez hesla, zkopírujte svůj veřejný klíč na server FreeIPA. V uživatelském profilu klikněte na Přidat  v části „Veřejné klíče SSH “, vložte svůj veřejný klíč do pole a uložte.
 
7. Odebírání klienta FreeIPA
 

 Odstranění klienta FreeIPA na Ubuntu lze provést spuštěním příkazu:
 
$ sudo ipa-client-install --uninstall
 
Závěr
 

 V této příručce se nám podařilo nainstalovat a nastavit klienta FreeIPA na Ubuntu 20.04.