Cara Menginstal dan Mengonfigurasi Klien FreeIPA di Ubuntu 20.04

FreeIPA adalah sistem manajemen Identitas sumber terbuka yang disponsori oleh Red Hat. Ini bertujuan untuk memberikan Identitas, Kebijakan, dan Audit yang mudah dikelola.

Integrasi ini memungkinkan Administrator Sistem untuk dengan mudah mengkonfigurasi server secara terpusat, di server FreeIPA. Saat perintah manajemen dijalankan pada mesin Klien, klien FreeIPA mengirimkannya ke server tempat perintah tersebut dieksekusi.

Konten Terkait

• Cara mengelola pengguna dan grup di Server FreeIPA
• Cara Menginstal Klien FreeIPA di Rocky Linux/Alma Linux/CentOS 8
• Cara Menginstal dan Mengonfigurasi FreeIPA di Rocky Linux/Centos 8
• Cara Memasang Klien FreeIPA di Fedora 35

Prasyarat

Untuk mengikuti, pastikan Anda memiliki yang berikut

• Server/Workstation Ubuntu 20.04 yang diperbarui
• Server FreeIPA tempat klien akan bergabung
• Akses sudo ke server atau pengguna dengan akses sudo
• Akses internet dari server

Daftar Isi

1. Perbarui sistem
2. Memasang paket FreeIPA
3. Menyiapkan Klien
4. Aktifkan Pembuatan direktori home pada Login pertama
5. Uji Penambahan Klien
6. Menggunakan Alat Manajemen Baris Perintah FreeIPA ipa
7. Aktifkan Autentikasi Tanpa Kata Sandi menggunakan Kunci Pribadi
8. Menghapus Klien FreeIPA

1. Perbarui sistem

Pastikan bahwa paket sistem diperbarui

sudo apt update
sudo apt upgrade 

2. Menginstal paket FreeIPA

Klien FreeIPA tersedia di repositori untuk Ubuntu. Instal menggunakan perintah:

sudo apt install -y freeipa-client 

Saat diminta untuk menyediakan ranah Kerberos untuk server, lewati saja dengan menekan <Enter>  kunci.

Konfirmasi penambahan klien menggunakan perintah ini

$ apt-cache policy freeipa-client
freeipa-client:
  Installed: 4.8.6-1ubuntu2
  Candidate: 4.8.6-1ubuntu2
  Version table:
 *** 4.8.6-1ubuntu2 500
        500 http://us-west-2.ec2.archive.ubuntu.com/ubuntu focal/universe amd64 Packages
        100 /var/lib/dpkg/status 

2. Menyiapkan klien

Setelah instalasi paket Klien FreeIPA selesai. Tambahkan nama host dan alamat IP Server IPA Anda ke /etc/hosts  file jika Anda tidak memiliki resolusi DNS yang berfungsi.

Buka file host dengan klien Anda:

sudo vim /etc/hosts 

Kemudian tambahkan ini:

10.2.40.149 ipa.citizix.com10.2.4.70 ubuntu-client.citizix.com

Setel nama host sistem Anda.

sudo hostnamectl set-hostname ubuntu-client.citizix.com 

Perbarui zona waktu ke zona waktu Anda:

sudo timedatectl set-timezone Africa/Nairobi 

Kami kemudian dapat mengatur klien dengan menentukan server FreeIPA dan nama domain

sudo ipa-client-install --server=ipa.citizix.com --domain ipa.citizix.com 

Anda juga dapat menambahkan lebih banyak argumen yang menentukan nama host, server, domain, dan ranah klien ipa seperti dalam contoh ini.

sudo ipa-client-install --hostname=fedora-client.citizix.com \
 --mkhomedir \
 --server=ipa.citizix.com \
 --domain ipa.citizix.com \
 --realm IPA.CITIZIX.COM 

Ini adalah keluaran saya. Anda akan melihat sesuatu yang mirip dengan ini

$ sudo ipa-client-install --server=ipa.citizix.com --domain ipa.citizix.com
This program will set up FreeIPA client.
Version 4.8.6

WARNING: conflicting time&date synchronization service 'ntp' will be disabled in favor of chronyd

Autodiscovery of servers for failover cannot work with this configuration.
If you proceed with the installation, services will be configured to always access the discovered server for all operations and will not fail over to other servers in case of failure.
Proceed with fixed values and no DNS discovery? [no]: yes
Do you want to configure chrony with NTP server or pool address? [no]: no
Client hostname: ubuntu-client.citizix.com
Realm: IPA.CITIZIX.COM
DNS Domain: ipa.citizix.com
IPA Server: ipa.citizix.com
BaseDN: dc=ipa,dc=citizix,dc=com

Continue to configure the system with these values? [no]: yes
Synchronizing time
No SRV records of NTP servers found and no NTP server or pool address was provided.
Using default chrony configuration.
Attempting to sync time with chronyc.
Time synchronization was successful.
User authorized to enroll computers: admin
Password for [email protected]:
Successfully retrieved CA cert
    Subject:     CN=Certificate Authority,O=IPA.CITIZIX.COM
    Issuer:      CN=Certificate Authority,O=IPA.CITIZIX.COM
    Valid From:  2021-11-09 05:42:01
    Valid Until: 2041-11-09 05:42:01

Enrolled in IPA realm IPA.CITIZIX.COM
Created /etc/ipa/default.conf
Configured sudoers in /etc/nsswitch.conf
Configured /etc/sssd/sssd.conf
Configured /etc/krb5.conf for IPA realm IPA.CITIZIX.COM
Systemwide CA database updated.
Adding SSH public key from /etc/ssh/ssh_host_rsa_key.pub
Adding SSH public key from /etc/ssh/ssh_host_ecdsa_key.pub
Adding SSH public key from /etc/ssh/ssh_host_ed25519_key.pub
Adding SSH public key from /etc/ssh/ssh_host_dsa_key.pub
Could not update DNS SSHFP records.
SSSD enabled
Configured /etc/openldap/ldap.conf
Configured /etc/ssh/ssh_config
Configured /etc/ssh/sshd_config
Configuring ipa.citizix.com as NIS domain.
Client configuration complete.
The ipa-client-install command was successful 

3. Aktifkan Pembuatan direktori home pada Login pertama

Secara default, layanan sssd tidak akan membuat direktori home untuk pengguna pada login pertama, kita perlu mengaktifkan fitur ini dengan memodifikasi file konfigurasi PAM.

sudo bash -c "cat> /usr/share/pam-configs/mkhomedir" < 

 Kemudian jalankan:
 
sudo pam-auth-update 
 

 Pastikan  “mengaktifkan mkhomedir” dipilih, harus memiliki [*]. Pilih  .
 
4. Uji penambahan Klien
 

 Untuk menguji apakah klien berhasil ditambahkan, mari kita login dengan pengguna di freeipa. Jika ini pertama kalinya Anda masuk, Anda akan melihat permintaan perubahan kata sandi jika tidak, Anda akan melihat ini:
 
$ ssh [email protected]
([email protected]) Password:
Last login: Sat Nov 13 08:29:12 2021 from 10.2.40.174

[[email protected] ~]$ 
 
5. Menggunakan Alat Manajemen Baris Perintah FreeIPA ipa
 

 Anda dapat mengelola Server FreeIPA dari mesin klien menggunakan alat baris perintah ipa.
 

 Pertama, dapatkan tiket Kerberos.
 
$ kinit adminPassword for [email protected]:
 

 Periksa informasi kedaluwarsa tiket menggunakan klist. 
 
$ klistTicket cache:KEYRING:persistent:1000:1000Prinsip default:[email protected]Awal yang valid Expires Service principal11/14/21 16:40:33 15/11/21 16:40:16 krbtgt/[dilindungi email] 
 

 Uji dengan menambahkan akun pengguna dan daftar akun yang ada:
 
$ sudo ipa user-add kip \
     --first=Kipkoech \
     --last=Towett \
     [email protected] \
     --password

Password:
Enter Password again to verify:
----------------
Added user "kip"
----------------
  User login: kip
  First name: Kipkoech
  Last name: Towett
  Full name: Kipkoech Towett
  Display name: Kipkoech Towett
  Initials: KT
  Home directory: /home/kip
  GECOS: Kipkoech Towett
  Login shell: /bin/bash
  Principal name: [email protected]
  Principal alias: [email protected]
  User password expiration: 20211112183007Z
  Email address: [email protected]
  UID: 1063800003
  GID: 1063800003
  Password: True
  Member of groups: ipausers
  Kerberos keys available: True 
 

 Verifikasi.
 
$ ipa pengguna-temukan kip--------------1 pengguna cocok-------------- Login pengguna:kip Nama depan:Kipkoech Nama belakang :Direktori Beranda Towett:/home/kip Shell masuk:/bin/bash Nama utama:[dilindungi email] Alias ​​​​utama:[dilindungi email] Alamat email:[dilindungi email] UID:1063800003 GID:1063800003 Akun dinonaktifkan:Salah--- -------------------------Jumlah entri yang dikembalikan 1-------------------- --------
 
6. Aktifkan Otentikasi Tanpa Kata Sandi menggunakan Kunci Pribadi
 

 Jika Anda ingin mengautentikasi ke server tanpa kata sandi, salin kunci Publik Anda ke Server FreeIPA. Di Profil pengguna, klik Tambahkan  tombol di bawah “kunci publik SSH “, tempel kunci publik Anda ke dalam kotak dan simpan.
 
7. Menghapus Klien FreeIPA
 

 Penghapusan klien FreeIPA di Ubuntu dapat dilakukan dengan menjalankan perintah:
 
$ sudo ipa-client-install --uninstall
 
Kesimpulan
 

 Dalam panduan ini, kami berhasil menginstal dan menyiapkan klien FreeIPA di Ubuntu 20.04.