如何在 Ubuntu 22.04 / 20.04 上配置 FreeIPA 客戶端
FreeIPA 是一個強大的開源身份管理系統,提供集中的身份驗證、授權和計費服務。在本文中,我們將逐步介紹在 Ubuntu 22.04 / 20.04 上配置 FreeIPA 客戶端的步驟。配置 FreeIPA 客戶端後,我們將嘗試使用在 FreeIPA 伺服器上創建的用戶登錄。
在我們之前的帖子中,我們已經討論了 FreeIPA 伺服器在 RHEL8/Rokcy Linux 8/ AlmaLinux 8 上的安裝步驟。
在 FreeIPA 伺服器上創建用戶進行集中認證
登錄到你的 FreeIPA 伺服器並創建一個名為 sysadm
的用戶,運行以下命令:
$ sudo kinit admin
Password for admin@LINUXTECHI.LAN:
$
$ sudo ipa config-mod --defaultshell=/bin/bash
$ sudo ipa user-add sysadm --first=System --last=Admin --password
Password:
Enter Password again to verify:
----------------Added user "sysadm"
----------------User login: sysadm
First name: System
Last name: Admin
Full name: System Admin
Display name: System Admin
Initials: SA
Home directory: /home/sysadm
GECOS: System Admin
Login shell: /bin/bash
Principal name: sysadm@LINUXTECHI.LAN
Principal alias: sysadm@LINUXTECHI.LAN
User password expiration: 20230415073041Z
Email address: sysadm@linuxtechi.lan
UID: 464600003
GID: 464600003
Password: True
Member of groups: ipausers
Kerberos keys available: True
$
第一個命令是獲取 Kerberos 憑證,第二個命令將所有用戶的默認登錄 shell 設置為 /bin/bash
,第三個命令用於創建名為 sysadm
的用戶。
在 Ubuntu 22.04 /20.04 上配置 FreeIPA 客戶端的步驟
執行以下步驟來配置 FreeIPA 客戶端以進行集中身份驗證。
1、在 FreeIPA 伺服器上添加 Ubuntu 系統的 DNS 記錄
登錄到你的 FreeIPA 伺服器並運行以下命令為 FreeIPA 客戶端(即 Ubuntu 22.04/20.04)添加 DNS 記錄:
$ sudo ipa dnsrecord-add linuxtechi.lan app01.linuxtechi.lan --a-rec 192.168.1.106
Record name: app01.linuxtechi.lan
A record: 192.168.1.106
$
在上面的命令中,app01.linuxtechi.lan
是我的 Ubuntu 系統,IP 地址為 192.168.1.106
。
注意:確保你的 FreeIPA 伺服器和客戶端處於同一時區並從 NTP 伺服器獲取時間。
2、安裝 FreeIPA 客戶端包
從你的 Ubuntu 系統運行以下命令以安裝 freeipa-client
以及依賴項:
$ sudo apt install freeipa-client oddjob-mkhomedir -y
在安裝 freeipa-client
時,我們將看到以下頁面,選擇確定並回車。
在下一個屏幕中,按回車鍵跳過。
3、在主機文件中添加 FreeIPA 伺服器 IP 和主機名
在 /etc/hosts
文件中添加以下 FreeIPA 伺服器條目:
$ echo "192.168.1.102 ipa.linuxtechi.lan ipa" | sudo tee -a /etc/hosts
$ echo "192.168.1.106 app01.linuxtechi.lan app01" | sudo tee -a /etc/hosts
更改適合你的設置的 IP 地址和主機名。
4、使用 ipa-client-install 配置 FreeIPA 客戶端
現在運行以下 ipa-client-install
命令在你的 Ubuntu 系統上配置 FreeIPA 客戶端:
$ sudo ipa-client-install --hostname=`hostname -f` --mkhomedir --server=ipa.linuxtechi.lan --domain linuxtechi.lan --realm LINUXTECHI.LAN
更改適合你設置的 FreeIPA 伺服器地址、域名和領域。
上述命令的輸出如下所示:
完美,上面的輸出確認 FreeIPA 客戶端安裝成功。
現在允許在用戶首次使用 FreeIPA 伺服器進行身份驗證時自動創建用戶的主目錄。
在文件 /usr/share/pam-configs/mkhomedir
中添加以下行:
required pam_mkhomedir.so umask=0022 skel=/etc/skel
$ echo "required pam_mkhomedir.so umask=0022 skel=/etc/skel" | sudo tee -a /usr/share/pam-configs/mkhomedir
要使上述更改生效,請運行以下命令:
$ sudo pam-auth-update
選擇確定,然後按回車鍵。
5、嘗試使用 sysadm 用戶登錄到你的 Ubuntu 系統
嘗試使用 sysadm
用戶通過 SSH 登錄到你的 Ubuntu 系統,
$ ssh sysadm@192.168.1.106
正如你在上面看到的,當我們第一次登錄時,它說密碼已過期。它將提示我們設置新密碼並斷開會話。
更新密碼後,嘗試 SSH 登錄 Ubuntu 系統,這次我們應該可以登錄了。
$ ssh sysadm@192.168.1.106
輸出:
太好了,上面的輸出確認我們已經使用集中用戶成功登錄到我們的 Ubuntu 系統。這也說明我們已經成功配置了 FreeIPA 客戶端。
如果你想從 ubuntu 系統中卸載 FreeIPA,然後運行以下命令集:
$ sudo ipa-client-install --uninstall
$ sudo rm -rf /var/lib/sss/db/*
$ sudo systemctl restart sssd.service
以上就是這篇文章的全部內容,我相信你已經發現它提供了很多信息。請在下面發表你的疑問和反饋。
(題圖:MJ/bd5b7777-f70a-4367-ac78-d026792b855a)
via: https://www.linuxtechi.com/configure-freeipa-client-on-ubuntu/
作者:Pradeep Kumar 選題:lkxed 譯者:geekpi 校對:wxy
本文轉載來自 Linux 中國: https://github.com/Linux-CN/archive