GNU/Linux >> Znalost Linux >  >> Fedora

Jak nainstalovat klienta FreeIPA na Fedoru 35

Tato integrace umožňuje správci systému pohodlně nakonfigurovat server centrálně na serveru FreeIPA. Když je na klientském počítači spuštěn příkaz pro správu, klient FreeIPA jej odešle na server, kde je spuštěn.

Související obsah

  • Jak spravovat uživatele a skupiny na serveru FreeIPA
  • Jak nainstalovat klienta FreeIPA na Rocky Linux/Alma Linux/CentOS 8
  • Jak nainstalovat a nakonfigurovat FreeIPA na Rocky Linux/Centos 8
  • Jak nainstalovat a nakonfigurovat klienta FreeIPA na Ubuntu 20.04
  • Jak nakonfigurovat replikaci FreeIPA na Rocky Linux/Alma Linux/Centos 8

Předpoklady

Chcete-li pokračovat, ujistěte se, že máte následující

  • Aktualizovaný server/pracovní stanice Fedora 35
  • Server IPA, ke kterému se klient připojí
  • Přístup sudo k serveru nebo uživateli s přístupem sudo
  • Přístup k internetu ze serveru

Obsah

  1. Instalace balíčků FreeIPA
  2. Nastavení klienta
  3. Povolit vytváření domovských adresářů při prvním přihlášení
  4. Přidání testovacího klienta
  5. Použití nástroje pro správu příkazového řádku FreeIPA ipa
  6. Povolte ověřování bez hesla pomocí soukromého klíče
  7. Odebrání klienta Rocky Linux/Alma Linux IPA

1. Instalace balíčků FreeIPA

Na serveru/pracovní stanici Fedora 35 je klient FreeIPA dostupný ve výchozím repozitáři jako freeipa-client . Hledejte pomocí tohoto příkazu:

sudo dnf search freeipa-client

Pomocí tohoto příkazu nainstalujte balíčky klienta FreeIPA.

sudo dnf -y install freeipa-client

Potvrďte přidání klienta pomocí rpm -qi příkaz

$ rpm -qi freeipa-client
Name        : freeipa-client
Version     : 4.9.7
Release     : 2.fc35
Architecture: x86_64
Install Date: Sat 13 Nov 2021 08:22:50 AM UTC
Group       : Unspecified
Size        : 242563
License     : GPLv3+
Signature   : RSA/SHA256, Fri 15 Oct 2021 07:13:26 PM UTC, Key ID db4639719867c58f
Source RPM  : freeipa-4.9.7-2.fc35.src.rpm
Build Date  : Fri 15 Oct 2021 06:59:37 PM UTC
Build Host  : buildvm-x86-25.iad2.fedoraproject.org
Packager    : Fedora Project
Vendor      : Fedora Project
URL         : http://www.freeipa.org/
Bug URL     : https://bugz.fedoraproject.org/freeipa
Summary     : IPA authentication for use on clients
Description :
IPA is an integrated solution to provide centrally managed Identity (users,
hosts, services), Authentication (SSO, 2FA), and Authorization
(host access control, SELinux user roles, services). The solution provides
features for further integration with Linux based clients (SUDO, automount)
and integration with Active Directory based infrastructures (Trusts).
If your network uses IPA for authentication, this package should be
installed on every client machine.
This package provides command-line tools for IPA administrators.

2. Nastavení klienta

Po dokončení instalace klientských balíčků FreeIPA. Přidejte název hostitele a IP adresu svého serveru IPA do složky /etc/hosts  pokud nemáte funkční překlad DNS.

echo "10.2.40.149 ipa.citizix.com" | sudo tee /etc/hosts

Nastavte název hostitele systému.

sudo hostnamectl set-hostname fedora-client.citizix.com

Poté můžeme nastavit klienta s uvedením serveru FreeIPA a názvu domény

sudo ipa-client-install --server=ipa.citizix.com --domain ipa.citizix.com

Můžete také přidat další argumenty určující název hostitele klienta ipa, server, doménu a sféru jako v tomto příkladu.

sudo ipa-client-install --hostname=fedora-client.citizix.com \
 --mkhomedir \
 --server=ipa.citizix.com \
 --domain ipa.citizix.com \
 --realm IPA.CITIZIX.COM

Toto je můj výstup. Měli byste vidět něco podobného

$ sudo ipa-client-install --server=ipa.citizix.com --domain ipa.citizix.com
This program will set up IPA client.
Version 4.9.7

Autodiscovery of servers for failover cannot work with this configuration.
If you proceed with the installation, services will be configured to always access the discovered server for all operations and will not fail over to other servers in case of failure.
Proceed with fixed values and no DNS discovery? [no]: yes
Do you want to configure chrony with NTP server or pool address? [no]: no
Client hostname: fedora-client.citizix.com
Realm: IPA.CITIZIX.COM
DNS Domain: ipa.citizix.com
IPA Server: ipa.citizix.com
BaseDN: dc=ipa,dc=citizix,dc=com

Continue to configure the system with these values? [no]: yes
Synchronizing time
No SRV records of NTP servers found and no NTP server or pool address was provided.
Using default chrony configuration.
Attempting to sync time with chronyc.
Time synchronization was successful.
User authorized to enroll computers: admin
Password for [email protected]:
Successfully retrieved CA cert
    Subject:     CN=Certificate Authority,O=IPA.CITIZIX.COM
    Issuer:      CN=Certificate Authority,O=IPA.CITIZIX.COM
    Valid From:  2021-11-09 05:42:01
    Valid Until: 2041-11-09 05:42:01

Enrolled in IPA realm IPA.CITIZIX.COM
Created /etc/ipa/default.conf
Configured sudoers in /etc/authselect/user-nsswitch.conf
Configured /etc/sssd/sssd.conf
Configured /etc/krb5.conf for IPA realm IPA.CITIZIX.COM
Systemwide CA database updated.
Hostname (fedora-client.citizix.com) does not have A/AAAA record.
Failed to update DNS records.
Missing A/AAAA record(s) for host fedora-client.citizix.com: 10.2.40.174.
Incorrect reverse record(s):
10.2.40.174 is pointing to ip-10-2-40-174.us-west-2.compute.internal. instead of fedora-client.citizix.com.
Adding SSH public key from /etc/ssh/ssh_host_rsa_key.pub
Adding SSH public key from /etc/ssh/ssh_host_dsa_key.pub
Adding SSH public key from /etc/ssh/ssh_host_ecdsa_key.pub
Adding SSH public key from /etc/ssh/ssh_host_ed25519_key.pub
Could not update DNS SSHFP records.
SSSD enabled
Configured /etc/openldap/ldap.conf
Configured /etc/ssh/ssh_config
Configured /etc/ssh/sshd_config.d/04-ipa.conf
Configuring ipa.citizix.com as NIS domain.
Client configuration complete.
The ipa-client-install command was successful

3. Povolte vytváření domovských adresářů při prvním přihlášení

Pokud se domovský adresář uživatele nevytvoří automaticky, povolte tuto funkci spuštěním příkazu níže. Tím se vytvoří domovský adresář při prvním přihlášení.

$ sudo authselect enable-feature with-mkhomedir
Make sure that SSSD service is configured and enabled. See SSSD documentation for more information.

- with-mkhomedir is selected, make sure pam_oddjob_mkhomedir module
  is present and oddjobd service is enabled and active
  - systemctl enable --now oddjobd.service

$ sudo systemctl enable --now oddjobd
Created symlink /etc/systemd/system/multi-user.target.wants/oddjobd.service → /usr/lib/systemd/system/oddjobd.service.

4. Přidání testovacího klienta

Chcete-li otestovat, že byl klient úspěšně přidán, přihlaste se s uživatelem ve freeipa. Pokud se přihlašujete poprvé, měli byste vidět výzvu ke změně hesla, jinak uvidíte toto:

$ ssh [email protected]
([email protected]) Password:
Last login: Sat Nov 13 08:29:12 2021 from 10.2.40.174

[[email protected] ~]$

5. Použití nástroje pro správu příkazového řádku FreeIPA ipa

Server FreeIPA můžete spravovat z klientského počítače pomocí nástroje příkazového řádku ipa.

Nejprve získejte lístek Kerberos.

$ kinit admin
Password for [email protected]:

Zkontrolujte informace o vypršení platnosti vstupenky pomocí klist. 

$ klist
Ticket cache: KCM:1000
Default principal: [email protected]

Valid starting       Expires              Service principal
11/12/2021 21:27:59  11/13/2021 21:27:47  krbtgt/[email protected]

Otestujte přidáním uživatelského účtu a seznamem přítomných účtů:

$ sudo ipa user-add kip \
     --first=Kipkoech \
     --last=Towett \
     [email protected] \
     --password

Password:
Enter Password again to verify:
----------------
Added user "kip"
----------------
  User login: kip
  First name: Kipkoech
  Last name: Towett
  Full name: Kipkoech Towett
  Display name: Kipkoech Towett
  Initials: KT
  Home directory: /home/kip
  GECOS: Kipkoech Towett
  Login shell: /bin/bash
  Principal name: [email protected]
  Principal alias: [email protected]
  User password expiration: 20211112183007Z
  Email address: [email protected]
  UID: 1063800003
  GID: 1063800003
  Password: True
  Member of groups: ipausers
  Kerberos keys available: True

Ověřte.

$ ipa user-find kip
--------------
1 user matched
--------------
  User login: kip
  First name: Kipkoech
  Last name: Towett
  Home directory: /home/kip
  Login shell: /bin/bash
  Principal name: [email protected]
  Principal alias: [email protected]
  Email address: [email protected]
  UID: 1063800003
  GID: 1063800003
  Account disabled: False
----------------------------
Number of entries returned 1
----------------------------

6. Povolte ověřování bez hesla pomocí soukromého klíče

Pokud se chcete autentizovat na serveru bez hesla, zkopírujte svůj veřejný klíč na server FreeIPA. V uživatelském profilu klikněte na Přidat  v části „Veřejné klíče SSH “, vložte svůj veřejný klíč do pole a uložte.

7. Odebrání klienta Fedora 35 IPA

Odstranění klienta FreeIPA na Rocky Linux/Alma Linux 8 lze provést spuštěním příkazu:

$ sudo ipa-client-install  --uninstall

Závěr

V této příručce se nám podařilo nainstalovat a nastavit klienta FreeIPA na Fedoře 35.


Fedora

  1. Jak nainstalovat Node.js na Fedora 35 / Fedora 34

  2. Jak nainstalovat Notepad++ na Fedoru 35

  3. Jak nainstalovat Wireshark na Fedoru 35

  1. Jak nainstalovat klienta FreeIPA na CentOS 7

  2. Jak nainstalovat klienta FreeIPA na Ubuntu Server 18.04

  3. Jak nainstalovat Java 17 do Fedory 35

  1. Jak nainstalovat Vagrant na Fedoru 34

  2. Jak nainstalovat OpenOffice 4.1.10 na Fedoru 34

  3. Jak nainstalovat AnyDesk na Fedora 35 / Fedora 34