如何在Ubuntu 18.04 / CentOS 7上配置FreeIPA客户端进行集中验证

  • 如何在Ubuntu 18.04 / CentOS 7上配置FreeIPA客户端进行集中验证已关闭评论
  • 18 views
  • A+
所属分类:linux

在我们之前的文章中,我们已经讨论了关于FreeIPA及其在CentOS 7 Server上的安装步骤,在本文中我们将讨论如何将Ubuntu 18.04和CentOS 7机器集成到FreeIPA Server以进行集中验证。

如何在Ubuntu 18.04 / CentOS 7上配置FreeIPA客户端进行集中验证

阅读更多:如何在CentOS 服务器上安装和配置FreeIPA

我假设“ sysadm ”用户已经在用于Linux系统的FreeIPA Sever上创建用于集中身份验证,如果没有,则从FreeIPA服务器执行以下命令来创建用户,

[root@ipa ~]# kinit admin
Password for admin@LINUXTECHI.LAN:
[root@ipa ~]# ipa config-mod --defaultshell=/bin/bash
[root@ipa ~]# ipa user-add sysadm --first=System --last=Admin --password
Password:
Enter Password again to verify:
-------------------
Added user "sysadm"
-------------------
  User login: sysadm
  First name: System
  Last name: Admin
  Full name: System Admin
  Display name: System Admin
  Initials: SA
  Home directory: /home/sysadm
  GECOS: System Admin
  Login shell: /bin/bash
  Principal name: sysadm@LINUXTECHI.LAN
  Principal alias: sysadm@LINUXTECHI.LAN
  User password expiration: 20181118194031Z
  Email address: sysadm@linuxtechi.lan
  UID: 1285200003
  GID: 1285200003
  Password: True
  Member of groups: ipausers
  Kerberos keys available: True
[root@ipa ~]#

第一个命令是获取Kerberos凭据,第二个命令是为所有用户设置默认登录shell为“ /bin/bash ”,第三个命令用于创建名为“ sysadm ” 的用户

在Ubuntu 18.04系统上配置FreeIPA Client的步骤

步骤:1)在FreeIPA Server上添加Ubuntu 18.04系统的DNS记录

登录到您的FreeIPA服务器(在我的情况下,它安装在CentOS 7上)并运行below命令为FreeIPA客户端添加dns记录(即Ubuntu 18.04系统)

[root@ipa ~]# ipa dnsrecord-add linuxtechi.lan app01.linuxtechi.lan --a-rec 192.168.1.106
  Record name: app01.linuxtechi.lan
  A record: 192.168.1.106
[root@ipa ~]#

在上面的命令中,app01.linuxtechi.lan是我的Ubuntu 18.04系统,IP地址为192.168.1.106。

注意:确保您的FreeIPA服务器和客户端位于同一时区,并从NTP服务器获取时间。

步骤:2)使用apt-get命令安装FreeIPA客户端软件包

从ubuntu系统运行以下命令以安装freeipa-client和依赖项,

pkumar@app01:~$ sudo apt-get install freeipa-client oddjob-mkhomedir -y

在安装freeipa-client时,我们将在屏幕下方,点击进入跳过

如何在Ubuntu 18.04 / CentOS 7上配置FreeIPA客户端进行集中验证

步骤:3)更新FreeIPA客户端的/etc/hosts文件(Ubuntu 18.04)

在/ etc / hosts文件中添加以下FreeIPA服务器条目

pkumar@app01:~$ echo "192.168.1.105 ipa.linuxtechi.lan ipa" | sudo tee -a /etc/hosts

更改适合您的设置的IP地址和主机名。

步骤:4)使用命令'ipa-client-install'配置FreeIPA客户端

现在运行“ipa-client-install”命令在ubuntu 18.04系统上配置freeipa-client,

pkumar@app01:~$ sudo ipa-client-install --hostname=`hostname -f` --mkhomedir --server=ipa.linuxtechi.lan --domain linuxtechi.lan --realm LINUXTECHI.LAN

更改适合您的设置的FreeIPA服务器地址,域名和域。

上面命令的输出如下所示:

如何在Ubuntu 18.04 / CentOS 7上配置FreeIPA客户端进行集中验证

如何在Ubuntu 18.04 / CentOS 7上配置FreeIPA客户端进行集中验证

现在,当用户首次使用FreeIPA Server进行身份验证时,可以自动创建用户的主页方向。

在文件“/ usr / share / pam-configs / mkhomedir”中附加以下行

必需pam_mkhomedir.so umask = 0022 skel = /etc/skel

pkumar@app01:~$ echo "required pam_mkhomedir.so umask=0022 skel=/etc/skel" | sudo tee -a /usr/share/pam-configs/mkhomedir

使用以下命令应用上述更改,

pkumar@app01:~$ sudo pam-auth-update

如何在Ubuntu 18.04 / CentOS 7上配置FreeIPA客户端进行集中验证

选择确定,然后按回车键,

现在尝试使用sysadm用户登录或ssh到您的Ubuntu 18.04系统。

步骤:5)尝试使用sysadm用户登录到您的Ubuntu 18.04系统

现在使用sysadm用户ssh到你的ubuntu 18.04系统,

# ssh sysadm@192.168.1.106
sysadm@192.168.1.106's password:
X11 forwarding request failed on channel 0
Password expired. Change your password now.
Creating directory '/home/sysadm'.
Welcome to Ubuntu 18.04 LTS (GNU/Linux 4.15.0-20-generic x86_64)
 * Documentation:  https://help.ubuntu.com
 * Management:     https://landscape.canonical.com
 * Support:        https://ubuntu.com/advantage
 * Canonical Livepatch is available for installation.
   - Reduce system reboots and improve kernel security. Activate at:
     https://ubuntu.com/livepatch
418 packages can be updated.
166 updates are security updates.
WARNING: Your password has expired.
You must change your password now and login again!
Current Password:
New password:
Retype new password:
passwd: password updated successfully
Connection to 192.168.1.106 closed.

我们可以看到,在第一次身份验证时,它会提示我们在密码过期时设置新密码并断开该会话。

现在尝试ssh ubuntu系统,这次我们应该能够连接,

# ssh sysadm@192.168.1.106
Welcome to Ubuntu 18.04 LTS (GNU/Linux 4.15.0-20-generic x86_64)
Last login: Sat Dec  8 21:37:44 2018 from 192.168.1.101
/usr/bin/xauth:  timeout in locking authority file /home/sysadm/.Xauthority
sysadm@app01:~$
sysadm@app01:~$ id
uid=1285200003(sysadm) gid=1285200003(sysadm) groups=1285200003(sysadm)
sysadm@app01:~$

这证实我们已经在Ubuntu 18.04系统上成功配置了FreeIPA Client。

在CentOS 7系统上配置FreeIPA客户端的步骤

步骤:1)在FreeIPA Server上添加CentOS 7的DNS记录

从FreeIPA服务器运行以下命令,

[root@ipa ~]# ipa dnsrecord-add linuxtechi.lan db01.linuxtechi.lan --a-rec 192.168.1.103
  Record name: db01.linuxtechi.lan
  A record: 192.168.1.103
[root@ipa ~]#

步骤:2)在/etc/hosts中添加FreeIPA Server详细信息

登录到centos 7系统并在/etc/hosts文件中添加以下内容

[root@db01 ~]# echo "192.168.1.105 ipa.linuxtechi.lan ipa" >> /etc/hosts
[root@db01 ~]# echo "192.168.0.103 db01.linuxtechi.lan" >> /etc/hosts

步骤:3安装并配置FreeIPA客户端

使用以下命令在CentOS 7系统上安装FreeIPA客户端,

[root@db01 ~]# yum install freeipa-client -y

现在使用“ipa-client-install”命令配置FreeIPA客户端,

[root@db01 ~]# ipa-client-install --hostname=`hostname -f` --mkhomedir --server=ipa.linuxtechi.lan --domain linuxtechi.lan --realm LINUXTECHI.LAN

使用我们在Ubuntu 18.04系统中使用相同命令时使用的相同详细信息和凭据

如果上面的命令成功执行,那么我们应该输出如下所示,

………………………………………………
[try 1]: Forwarding 'host_mod' to json server 'https://ipa.linuxtechi.lan/ipa/session/json'
Could not update DNS SSHFP records.
SSSD enabled
Configured /etc/openldap/ldap.conf
Configured /etc/ssh/ssh_config
Configured /etc/ssh/sshd_config
Configuring linuxtechi.lan as NIS domain.
Client configuration complete.
The ipa-client-install command was successful
[root@db01 ~]#

运行以下命令,以便在首次登录时自动创建用户的主目录,

[root@db01 ~]# authconfig --enablemkhomedir --update
[root@db01 ~]#

现在您应该可以使用sysadm用户登录CentOS 7系统。

从Ubuntu 18.04 / CentOS 7卸载FreeIPA Client的步骤

[root@db01 ~]# ipa-client-install --uninstall
[root@db01 ~]# rm -rf /var/lib/sss/db/*
[root@db01 ~]# systemctl restart sssd.service
  • 安卓客户端下载
  • 微信扫一扫
  • weinxin
  • 微信公众号
  • 微信公众号扫一扫
  • weinxin
avatar