所在位置:首页 > Linux云服务器 > 在CentOS/RHEL 8上安装FreeIPA客户端的方法

在CentOS/RHEL 8上安装FreeIPA客户端的方法

2019-03-25 22:02:32作者:符天稿源:云网牛站

本文介绍在CentOS/RHEL 8上安装和配置FreeIPA客户端的方法。FreeIPA Client集成了许多Linux本机服务，例如：SSH服务器可以保留sshd和ssh使用的SSH公钥，SUDO-服务器可以为所有客户提供集中式的sudoers，automount-服务器可以保留由位置区分的客户端autofs消耗的自动挂载映射，SELinux用户映射-服务器可以保留策略，以便根据用户的组或主机组为用户分配不同的SELinux用户角色。这些集成允许系统管理员在FreeIPA服务器上集中配置它们，在客户端计算机上执行管理命令时，FreeIPA客户端将其发送到执行它的服务器。

在CentOS/RHEL 8上安装FreeIPA客户端

在RHEL/CentOS 8上，FreeIPA客户端可用作AppStream模块，参考使用Fedora/RHEL 8系统模块库[Modular Repository]的方法：

$ sudo yum module list idm

在CentOS/RHEL 8上安装FreeIPA客户端的方法

从输出中，你可以看到我们有DL1和客户端Streams，有关FreeIPA客户端流的更多信息，请运行：

sudo yum module info idm:client

通过在终端中执行以下命令，在CentOS/RHEL 8系统上安装FreeIPA客户端：

sudo yum -y install @idm:client

检查安装的ipa-client版本：

$ rpm -qi ipa-client

在CentOS/RHEL 8上安装FreeIPA客户端的方法

你可以为sssd做同样的事情：

$ rpm -qi sssd

在CentOS/RHEL 8上安装FreeIPA客户端的方法

在CentOS/RHEL 8上配置FreeIPA客户端

完成FreeIPA客户端软件包的安装后，如果没有可用的DNS解析，请将IPA服务器的主机名和IP地址添加到/etc/hosts文件：

echo "192.168.58.121 ipa.example.com"| sudo tee /etc/hosts

设置系统主机名：

export HNAME="rhel8.example.com"

sudo hostnamectl set-hostname $HNAME --static

sudo hostname $HNAME

最后，通过运行以下命令在系统上配置FreeIPA客户端：

$ sudo ipa-client-install --hostname=rhel8.example.com \

--mkhomedir \

--server=ipa.example.com \

--domain example.com \

--realm EXAMPLE.COM

说明：

rhel8.example.com - 客户端主机名。

ipa.example.com FreeIPA服务器主机名。

example.com - 在FreeIPA Server中配置的域名。

EXAMPLE.COM - FreeIPA服务器Kerberos REALM。

安装应类似于以下示例：

在CentOS/RHEL 8上安装FreeIPA客户端的方法

如果你有DNS服务器，FreeIPA客户端安装程序可以发现FreeIPA服务器并拉出所需的安装，命令：

sudo ipa-client-install

应该足以配置客户机。

启用首次登录时创建主目录

如果未自动创建用户的主目录，请通过运行以下命令启用此功能：

$ sudo authconfig --enablemkhomedir --update

...

Executing: /usr/bin/authselect check

Executing: /usr/bin/authselect current --raw

Executing: /usr/bin/authselect select sssd with-sudo with-mkhomedir --force

Executing: /usr/bin/systemctl enable oddjobd.service

Executing: /usr/bin/systemctl stop oddjobd.service

Executing: /usr/bin/systemctl start oddjobd.service

检查服务器上是否显示用户标识：

$ id josphat

uid=1676000008(josphat) gid=1676000008(josphat) groups=1676000008(josphat),1676000007(wheel-users)

测试FreeIPA LDAP用户身份验证：

$ ssh test@localhost

Password:

Password expired. Change your password now.

Current Password:

New password: <Set new passwoird

Retype new password:

Activate the web console with: systemctl enable --now cockpit.socket

[test1@ipa ~]$ id

uid=1201400003(test1) gid=1201400003(test1) groups=1201400003(test1) context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023

使用FreeIPA ipa命令行管理工具

可以使用ipa命令行工具从客户端计算机管理FreeIPA Server。

首先，获取Kerberos帐户：

$ sudo kinit admin

Password for admin@EXAMPLE.COM:

使用klist检查帐户到期信息：

$ klist

Ticket cache: KCM:0

Default principal: admin@EXAMPLE.COM

Valid starting Expires Service principal

03/25/2019 11:48:06 03/26/2019 11:48:04 krbtgt/EXAMPLE.COM@EXAMPLE.COM

通过添加用户帐户和列出帐户进行测试：

$ sudo ipa user-add test --first=Test --last=User \

--email=test@example.com --password

Password:

Enter Password again to verify:

-------------------

Added user "test"

-------------------

User login: test

First name: Test

Last name: User

Full name: Test User

Display name: Test User

Initials: TU

Home directory: /home/test

GECOS: Test User

Login shell: /bin/bash

Principal name: test@EXAMPLE.COM

Principal alias: test@EXAMPLE.COM

User password expiration: 20190324085532Z

Email address: test@example.com

UID: 1201400001

GID: 1201400001

Password: True

Member of groups: ipausers

Kerberos keys available: True

校验：

ipa user-find test

使用私钥启用无密码身份验证

如果你想在没有密码的情况下对服务器进行身份验证，请将你的公钥复制到FreeIPA服务器：

在CentOS/RHEL 8上安装FreeIPA客户端的方法

单击“SSH公钥（SSH public keys）”下的“添加（Add）”按钮，将公钥粘贴到框中并保存。

在CentOS/RHEL 8上从IPA服务器取消注册客户端

可以通过运行命令来完成CentOS/RHEL 8上FreeIPA客户端的Remova：

$ sudo ipa-client-install --uninstall

Unenrolling client from IPA server

Removing Kerberos service principals from /etc/krb5.keytab

Disabling client Kerberos and LDAP configurations

Redundant SSSD configuration file /etc/sssd/sssd.conf was moved to /etc/sssd/sssd.conf.deleted

Restoring client configuration files

Unconfiguring the NIS domain.

nscd daemon is not installed, skip configuration

nslcd daemon is not installed, skip configuration

Systemwide CA database updated.

Client uninstall complete.

The original nsswitch.conf configuration has been restored.

You may need to restart services or reboot the machine.

Do you want to reboot the machine? [no]:

The ipa-client-install command was successful

结语

通过以上步骤，可以成功的在RHEL/CentOS 8系统上安装和配置FreeIPA客户端。

相关主题

在Ubuntu 18.04/CentOS 7上配置FreeIPA客户端

频道文章

全站推荐文章

精选文章

热门文章