Integrasi ini memungkinkan Administrator Sistem untuk dengan mudah mengkonfigurasi server secara terpusat, di server FreeIPA. Saat perintah manajemen dijalankan pada mesin Klien, klien FreeIPA mengirimkannya ke server tempat perintah tersebut dieksekusi.
Konten Terkait
- Cara mengelola pengguna dan grup di Server FreeIPA
- Cara Menginstal Klien FreeIPA di Rocky Linux/Alma Linux/CentOS 8
- Cara Menginstal dan Mengonfigurasi FreeIPA di Rocky Linux/Centos 8
- Cara Memasang dan Mengonfigurasi Klien FreeIPA di Ubuntu 20.04
- Cara mengkonfigurasi Replikasi FreeIPA di Rocky Linux/Alma Linux/Centos 8
Prasyarat
Untuk mengikuti, pastikan Anda memiliki yang berikut
- Server/Workstation Fedora 35 yang diperbarui
- Server IPA tempat klien akan bergabung
- Akses sudo ke server atau pengguna dengan akses sudo
- Akses internet dari server
Daftar Isi
- Memasang paket FreeIPA
- Menyiapkan Klien
- Aktifkan Pembuatan direktori home pada Login pertama
- Uji Penambahan Klien
- Menggunakan Alat Manajemen Baris Perintah FreeIPA ipa
- Aktifkan Autentikasi Tanpa Kata Sandi menggunakan Kunci Pribadi
- Menghapus Klien IPA Rocky Linux/Alma Linux
1. Menginstal paket FreeIPA
Pada Fedora 35 Server/Workstation, klien FreeIPA tersedia di repo default sebagai freeipa-client . Cari menggunakan perintah ini:
sudo dnf search freeipa-clientInstal paket Klien FreeIPA menggunakan perintah ini.
sudo dnf -y install freeipa-client
Konfirmasi penambahan klien menggunakan rpm -qi perintah
$ rpm -qi freeipa-client
Name : freeipa-client
Version : 4.9.7
Release : 2.fc35
Architecture: x86_64
Install Date: Sat 13 Nov 2021 08:22:50 AM UTC
Group : Unspecified
Size : 242563
License : GPLv3+
Signature : RSA/SHA256, Fri 15 Oct 2021 07:13:26 PM UTC, Key ID db4639719867c58f
Source RPM : freeipa-4.9.7-2.fc35.src.rpm
Build Date : Fri 15 Oct 2021 06:59:37 PM UTC
Build Host : buildvm-x86-25.iad2.fedoraproject.org
Packager : Fedora Project
Vendor : Fedora Project
URL : http://www.freeipa.org/
Bug URL : https://bugz.fedoraproject.org/freeipa
Summary : IPA authentication for use on clients
Description :
IPA is an integrated solution to provide centrally managed Identity (users,
hosts, services), Authentication (SSO, 2FA), and Authorization
(host access control, SELinux user roles, services). The solution provides
features for further integration with Linux based clients (SUDO, automount)
and integration with Active Directory based infrastructures (Trusts).
If your network uses IPA for authentication, this package should be
installed on every client machine.
This package provides command-line tools for IPA administrators.2. Menyiapkan klien
Setelah instalasi paket Klien FreeIPA selesai. Tambahkan nama host dan alamat IP Server IPA Anda ke /etc/hosts file jika Anda tidak memiliki resolusi DNS yang berfungsi.
echo "10.2.40.149 ipa.citizix.com" | sudo tee /etc/hosts
Setel nama host sistem Anda.
sudo hostnamectl set-hostname fedora-client.citizix.comKami kemudian dapat mengatur klien dengan menentukan server FreeIPA dan nama domain
sudo ipa-client-install --server=ipa.citizix.com --domain ipa.citizix.comAnda juga dapat menambahkan lebih banyak argumen yang menentukan nama host, server, domain, dan ranah klien ipa seperti dalam contoh ini.
sudo ipa-client-install --hostname=fedora-client.citizix.com \
--mkhomedir \
--server=ipa.citizix.com \
--domain ipa.citizix.com \
--realm IPA.CITIZIX.COMIni adalah keluaran saya. Anda akan melihat sesuatu yang mirip dengan ini
$ sudo ipa-client-install --server=ipa.citizix.com --domain ipa.citizix.com
This program will set up IPA client.
Version 4.9.7
Autodiscovery of servers for failover cannot work with this configuration.
If you proceed with the installation, services will be configured to always access the discovered server for all operations and will not fail over to other servers in case of failure.
Proceed with fixed values and no DNS discovery? [no]: yes
Do you want to configure chrony with NTP server or pool address? [no]: no
Client hostname: fedora-client.citizix.com
Realm: IPA.CITIZIX.COM
DNS Domain: ipa.citizix.com
IPA Server: ipa.citizix.com
BaseDN: dc=ipa,dc=citizix,dc=com
Continue to configure the system with these values? [no]: yes
Synchronizing time
No SRV records of NTP servers found and no NTP server or pool address was provided.
Using default chrony configuration.
Attempting to sync time with chronyc.
Time synchronization was successful.
User authorized to enroll computers: admin
Password for [email protected]:
Successfully retrieved CA cert
Subject: CN=Certificate Authority,O=IPA.CITIZIX.COM
Issuer: CN=Certificate Authority,O=IPA.CITIZIX.COM
Valid From: 2021-11-09 05:42:01
Valid Until: 2041-11-09 05:42:01
Enrolled in IPA realm IPA.CITIZIX.COM
Created /etc/ipa/default.conf
Configured sudoers in /etc/authselect/user-nsswitch.conf
Configured /etc/sssd/sssd.conf
Configured /etc/krb5.conf for IPA realm IPA.CITIZIX.COM
Systemwide CA database updated.
Hostname (fedora-client.citizix.com) does not have A/AAAA record.
Failed to update DNS records.
Missing A/AAAA record(s) for host fedora-client.citizix.com: 10.2.40.174.
Incorrect reverse record(s):
10.2.40.174 is pointing to ip-10-2-40-174.us-west-2.compute.internal. instead of fedora-client.citizix.com.
Adding SSH public key from /etc/ssh/ssh_host_rsa_key.pub
Adding SSH public key from /etc/ssh/ssh_host_dsa_key.pub
Adding SSH public key from /etc/ssh/ssh_host_ecdsa_key.pub
Adding SSH public key from /etc/ssh/ssh_host_ed25519_key.pub
Could not update DNS SSHFP records.
SSSD enabled
Configured /etc/openldap/ldap.conf
Configured /etc/ssh/ssh_config
Configured /etc/ssh/sshd_config.d/04-ipa.conf
Configuring ipa.citizix.com as NIS domain.
Client configuration complete.
The ipa-client-install command was successful3. Aktifkan Pembuatan direktori home pada Login pertama
Jika direktori beranda pengguna tidak dibuat secara otomatis, aktifkan fitur ini dengan menjalankan perintah di bawah ini. Ini akan membuat direktori home pada login awal.
$ sudo authselect enable-feature with-mkhomedir
Make sure that SSSD service is configured and enabled. See SSSD documentation for more information.
- with-mkhomedir is selected, make sure pam_oddjob_mkhomedir module
is present and oddjobd service is enabled and active
- systemctl enable --now oddjobd.service
$ sudo systemctl enable --now oddjobd
Created symlink /etc/systemd/system/multi-user.target.wants/oddjobd.service → /usr/lib/systemd/system/oddjobd.service.4. Uji penambahan Klien
Untuk menguji apakah klien berhasil ditambahkan, mari kita login dengan pengguna di freeipa. Jika ini pertama kalinya Anda masuk, Anda akan melihat permintaan perubahan kata sandi jika tidak, Anda akan melihat ini:
$ ssh [email protected]
([email protected]) Password:
Last login: Sat Nov 13 08:29:12 2021 from 10.2.40.174
[[email protected] ~]$5. Menggunakan Alat Manajemen Baris Perintah FreeIPA ipa
Anda dapat mengelola Server FreeIPA dari mesin klien menggunakan alat baris perintah ipa.
Pertama, dapatkan tiket Kerberos.
$ kinit admin Password for [email protected]:
Periksa informasi kedaluwarsa tiket menggunakan klist.
$ klist Ticket cache: KCM:1000 Default principal: [email protected] Valid starting Expires Service principal 11/12/2021 21:27:59 11/13/2021 21:27:47 krbtgt/[email protected]
Uji dengan menambahkan akun pengguna dan daftar akun yang ada:
$ sudo ipa user-add kip \
--first=Kipkoech \
--last=Towett \
[email protected] \
--password
Password:
Enter Password again to verify:
----------------
Added user "kip"
----------------
User login: kip
First name: Kipkoech
Last name: Towett
Full name: Kipkoech Towett
Display name: Kipkoech Towett
Initials: KT
Home directory: /home/kip
GECOS: Kipkoech Towett
Login shell: /bin/bash
Principal name: [email protected]
Principal alias: [email protected]
User password expiration: 20211112183007Z
Email address: [email protected]
UID: 1063800003
GID: 1063800003
Password: True
Member of groups: ipausers
Kerberos keys available: TrueVerifikasi.
$ ipa user-find kip -------------- 1 user matched -------------- User login: kip First name: Kipkoech Last name: Towett Home directory: /home/kip Login shell: /bin/bash Principal name: [email protected] Principal alias: [email protected] Email address: [email protected] UID: 1063800003 GID: 1063800003 Account disabled: False ---------------------------- Number of entries returned 1 ----------------------------
6. Aktifkan Otentikasi Tanpa Kata Sandi menggunakan Kunci Pribadi
Jika Anda ingin mengautentikasi ke server tanpa kata sandi, salin kunci Publik Anda ke Server FreeIPA. Di Profil pengguna, klik Tambahkan tombol di bawah “kunci publik SSH “, tempel kunci publik Anda ke dalam kotak dan simpan.
7. Menghapus Klien IPA Fedora 35
Penghapusan klien FreeIPA di Rocky Linux/Alma Linux 8 dapat dilakukan dengan menjalankan perintah:
$ sudo ipa-client-install --uninstall
Kesimpulan
Dalam panduan ini, kami berhasil menginstal dan menyiapkan klien FreeIPA di Fedora 35.