FreeIPA 是一個強大的開源身分管理系統,提供集中的身份驗證、授權和計費服務。
在我們之前的文章中,我們已經討論了 FreeIPA 伺服器在 RHEL8/Rokcy Linux 8/ AlmaLinux 8 上的安裝步驟。
在FreeIPA 伺服器上建立用戶進行集中認證
登入你的FreeIPA 伺服器並建立一個名為 sysadm 的用戶,執行下列指令:
$ sudo kinit adminPassword for admin@LINUXTECHI.LAN:$$ sudo ipa config-mod --defaultshell=/bin/bash$ sudo ipa user-add sysadm --first=System --last=Admin --passwordPassword:Enter Password again to verify:-------------------Added user "sysadm"-------------------User login: sysadmFirst name: SystemLast name: AdminFull name: System AdminDisplay name: System AdminInitials: SAHome directory: /home/sysadmGECOS: System AdminLogin shell: /bin/bashPrincipal name: sysadm@LINUXTECHI.LANPrincipal alias: sysadm@LINUXTECHI.LANUser password expiration: 20230415073041ZEmail address: sysadm@linuxtechi.lanUID: 464600003GID: 464600003Password: TrueMember of groups: ipausersKerberos keys available: True$
登入後複製
第一個指令是取得Kerberos 憑證,第二個指令將所有使用者的預設登入shell 設定為 /bin/bash,第三個指令用於建立名為 sysadm 的使用者。
在 Ubuntu 22.04 /20.04 上設定 FreeIPA 用戶端的步驟
執行下列步驟來設定 FreeIPA 用戶端以進行集中驗證。
1、在FreeIPA 伺服器上新增Ubuntu 系統的DNS 記錄
登入你的FreeIPA 伺服器並執行以下指令為FreeIPA 用戶端(即Ubuntu 22.04/20.04)新增DNS 記錄:
$ sudo ipa dnsrecord-add linuxtechi.lan app01.linuxtechi.lan --a-rec 192.168.1.106Record name: app01.linuxtechi.lanA record: 192.168.1.106$
登入後複製
在上面的指令中,app01.linuxtechi.lan 是我的Ubuntu 系統,IP 位址為 192.168.1.106。
注意:確保你的 FreeIPA 伺服器和客戶端處於同一時區並從 NTP 伺服器取得時間。
2、安裝FreeIPA 用戶端套件
從你的Ubuntu 系統執行以下命令以安裝 freeipa-client 以及依賴項:
$ sudo apt install freeipa-client oddjob-mkhomedir -y
登入後複製
在安裝 freeipa-client 時,我們將看到以下頁面,選擇確定並回車。
在下一個畫面中,按回車鍵跳過。
3、在主機檔案中新增FreeIPA 伺服器IP 與主機名稱
在 /etc/hosts 檔案中新增下列FreeIPA伺服器條目:
$ echo "192.168.1.102 ipa.linuxtechi.lan ipa" | sudo tee -a /etc/hosts$ echo "192.168.1.106 app01.linuxtechi.lan app01" | sudo tee -a /etc/hosts
登入後複製
更改適合你的設定的IP 位址和主機名稱。
4、使用ipa-client-install 設定FreeIPA 用戶端
現在執行以下 ipa-client-install 指令在你的Ubuntu 系統上設定FreeIPA 用戶端:
$ sudo ipa-client-install --hostname=`hostname -f` --mkhomedir --server=ipa.linuxtechi.lan --domain linuxtechi.lan --realm LINUXTECHI.LAN
登入後複製
更改適合你設定的FreeIPA 伺服器位址、網域名稱和領域。
上述指令的輸出如下所示:
完美,上面的輸出確認 FreeIPA 用戶端安裝成功。
現在允許在使用者首次使用 FreeIPA 伺服器進行身份驗證時自動建立使用者的主目錄。
在檔案 /usr/share/pam-configs/mkhomedir 中新增下列行:
required pam_mkhomedir.so umask=0022 skel=/etc/skel
登入後複製
$ echo "required pam_mkhomedir.so umask=0022 skel=/etc/skel" | sudo tee -a /usr/share/pam-configs/mkhomedir
登入後複製
要使上述變更生效,請執行下列命令:
$ sudo pam-auth-update
登入後複製
選擇確定,然後按下回車鍵。
5、尝试使用 sysadm 用户登录到你的 Ubuntu 系统
尝试使用 sysadm 用户通过 SSH 登录到你的 Ubuntu 系统,
$ ssh sysadm@192.168.1.106
登入後複製
登入後複製
正如你在上面看到的,当我们第一次登录时,它说密码已过期。它将提示我们设置新密码并断开会话。
更新密码后,尝试 SSH 登录 Ubuntu 系统,这次我们应该可以登录了。
$ ssh sysadm@192.168.1.106
登入後複製
登入後複製
输出:
我们已经成功使用集中管理的用户登录到了 Ubuntu 系统,这一点在输出信息中得到了确认,非常令人欣慰。这也说明我们已经成功配置了 FreeIPA 客户端。
如果你想从 ubuntu 系统中卸载 FreeIPA,然后运行以下命令集:
$ sudo ipa-client-install --uninstall$ sudorm -rf /var/lib/sss/db/*$ sudo systemctl restart sssd.service
登入後複製
以上是如何在 Ubuntu 22.04 / 20.04 上設定 FreeIPA 用戶端的詳細內容。更多資訊請關注PHP中文網其他相關文章!
