FreeIPA è un sistema di gestione dell'identità open source sponsorizzato da Red Hat. Mira a fornire un'identità, una politica e un controllo facilmente gestiti.
Queste integrazioni consentono a un amministratore di sistema di configurare comodamente il server centralmente, sul server FreeIPA. Quando un comando di gestione viene eseguito sulla macchina del Cliente, il client FreeIPA lo invia al server dove viene eseguito.
Contenuti correlati
- Come gestire utenti e gruppi in FreeIPA Server
- Come installare il client FreeIPA su Rocky Linux/Alma Linux/CentOS 8
- Come installare e configurare FreeIPA su Rocky Linux/Centos 8
- Come installare il client FreeIPA su Fedora 35
Prerequisiti
Per seguire, assicurati di avere quanto segue
- Un server/workstation Ubuntu 20.04 aggiornato
- Un server FreeIPA a cui si unirà il client
- Sudo accesso al server o utente con accesso sudo
- Accesso a Internet dal server
Indice dei contenuti
- Aggiorna sistema
- Installazione dei pacchetti FreeIPA
- Configurazione del Cliente
- Abilita Creazione di home directory al primo Login
- Test aggiunta client
- Utilizzo dello strumento di gestione della riga di comando di FreeIPA ipa
- Abilita l'autenticazione senza password utilizzando la chiave privata
- Rimozione del client FreeIPA
1. Aggiorna il sistema
Assicurati che i pacchetti di sistema siano aggiornati
sudo apt update
sudo apt upgrade2. Installazione dei pacchetti FreeIPA
Il client FreeIPA è disponibile nei repository per Ubuntu. Installalo usando il comando:
sudo apt install -y freeipa-clientQuando ti viene chiesto di fornire un regno Kerberos per il server, salta semplicemente premendo <Invio> chiave.
Conferma l'aggiunta del cliente utilizzando questo comando
$ apt-cache policy freeipa-client
freeipa-client:
Installed: 4.8.6-1ubuntu2
Candidate: 4.8.6-1ubuntu2
Version table:
*** 4.8.6-1ubuntu2 500
500 http://us-west-2.ec2.archive.ubuntu.com/ubuntu focal/universe amd64 Packages
100 /var/lib/dpkg/status2. Configurazione del cliente
Una volta completata l'installazione dei pacchetti del client FreeIPA. Aggiungi il nome host e l'indirizzo IP del tuo server IPA a /etc/hosts file se non hai una risoluzione DNS funzionante.
Apri il file hosts con il tuo client:
sudo vim /etc/hostsQuindi aggiungi questo:
10.2.40.149 ipa.citizix.com 10.2.40.70 ubuntu-client.citizix.com
Imposta il nome host del tuo sistema.
sudo hostnamectl set-hostname ubuntu-client.citizix.comAggiorna il fuso orario in base al tuo fuso orario:
sudo timedatectl set-timezone Africa/NairobiPossiamo quindi configurare il client specificando il server FreeIPA e il nome di dominio
sudo ipa-client-install --server=ipa.citizix.com --domain ipa.citizix.comPuoi anche aggiungere più argomenti specificando il nome host, il server, il dominio e il dominio del client ipa come in questo esempio.
sudo ipa-client-install --hostname=fedora-client.citizix.com \
--mkhomedir \
--server=ipa.citizix.com \
--domain ipa.citizix.com \
--realm IPA.CITIZIX.COMQuesta è la mia uscita. Dovresti vedere qualcosa di simile a questo
$ sudo ipa-client-install --server=ipa.citizix.com --domain ipa.citizix.com
This program will set up FreeIPA client.
Version 4.8.6
WARNING: conflicting time&date synchronization service 'ntp' will be disabled in favor of chronyd
Autodiscovery of servers for failover cannot work with this configuration.
If you proceed with the installation, services will be configured to always access the discovered server for all operations and will not fail over to other servers in case of failure.
Proceed with fixed values and no DNS discovery? [no]: yes
Do you want to configure chrony with NTP server or pool address? [no]: no
Client hostname: ubuntu-client.citizix.com
Realm: IPA.CITIZIX.COM
DNS Domain: ipa.citizix.com
IPA Server: ipa.citizix.com
BaseDN: dc=ipa,dc=citizix,dc=com
Continue to configure the system with these values? [no]: yes
Synchronizing time
No SRV records of NTP servers found and no NTP server or pool address was provided.
Using default chrony configuration.
Attempting to sync time with chronyc.
Time synchronization was successful.
User authorized to enroll computers: admin
Password for [email protected]:
Successfully retrieved CA cert
Subject: CN=Certificate Authority,O=IPA.CITIZIX.COM
Issuer: CN=Certificate Authority,O=IPA.CITIZIX.COM
Valid From: 2021-11-09 05:42:01
Valid Until: 2041-11-09 05:42:01
Enrolled in IPA realm IPA.CITIZIX.COM
Created /etc/ipa/default.conf
Configured sudoers in /etc/nsswitch.conf
Configured /etc/sssd/sssd.conf
Configured /etc/krb5.conf for IPA realm IPA.CITIZIX.COM
Systemwide CA database updated.
Adding SSH public key from /etc/ssh/ssh_host_rsa_key.pub
Adding SSH public key from /etc/ssh/ssh_host_ecdsa_key.pub
Adding SSH public key from /etc/ssh/ssh_host_ed25519_key.pub
Adding SSH public key from /etc/ssh/ssh_host_dsa_key.pub
Could not update DNS SSHFP records.
SSSD enabled
Configured /etc/openldap/ldap.conf
Configured /etc/ssh/ssh_config
Configured /etc/ssh/sshd_config
Configuring ipa.citizix.com as NIS domain.
Client configuration complete.
The ipa-client-install command was successful3. Abilita la creazione di home directory al primo accesso
Per impostazione predefinita, il servizio sssd non creerà una home directory per l'utente al primo accesso, è necessario abilitare questa funzione modificando il file di configurazione PAM.
sudo bash -c "cat > /usr/share/pam-configs/mkhomedir" <<EOF Name: activate mkhomedir Default: yes Priority: 900 Session-Type: Additional Session: required pam_mkhomedir.so umask=0022 skel=/etc/skel EOF
Quindi esegui:
sudo pam-auth-update
Assicurati di "attiva mkhomedir" è selezionato, dovrebbe avere [*]. Seleziona
4. Testare l'aggiunta del cliente
Per verificare che il client sia stato aggiunto correttamente, accediamo con un utente in freeipa. Se è la prima volta che accedi, dovresti vedere una richiesta di modifica della password, altrimenti vedrai questo:
$ ssh [email protected]
([email protected]) Password:
Last login: Sat Nov 13 08:29:12 2021 from 10.2.40.174
[[email protected] ~]$5. Utilizzo dello strumento di gestione della riga di comando di FreeIPA ipa
Puoi amministrare FreeIPA Server dalla macchina client usando lo strumento a riga di comando ipa.
Innanzitutto, ottieni un ticket Kerberos.
$ kinit admin Password for [email protected]:
Controlla le informazioni sulla scadenza del biglietto utilizzando klist.
$ klist Ticket cache: KEYRING:persistent:1000:1000 Default principal: [email protected] Valid starting Expires Service principal 11/14/21 16:40:33 11/15/21 16:40:16 krbtgt/[email protected]
Prova aggiungendo un account utente ed elencando gli account presenti:
$ sudo ipa user-add kip \
--first=Kipkoech \
--last=Towett \
[email protected] \
--password
Password:
Enter Password again to verify:
----------------
Added user "kip"
----------------
User login: kip
First name: Kipkoech
Last name: Towett
Full name: Kipkoech Towett
Display name: Kipkoech Towett
Initials: KT
Home directory: /home/kip
GECOS: Kipkoech Towett
Login shell: /bin/bash
Principal name: [email protected]
Principal alias: [email protected]
User password expiration: 20211112183007Z
Email address: [email protected]
UID: 1063800003
GID: 1063800003
Password: True
Member of groups: ipausers
Kerberos keys available: TrueVerifica.
$ ipa user-find kip -------------- 1 user matched -------------- User login: kip First name: Kipkoech Last name: Towett Home directory: /home/kip Login shell: /bin/bash Principal name: [email protected] Principal alias: [email protected] Email address: [email protected] UID: 1063800003 GID: 1063800003 Account disabled: False ---------------------------- Number of entries returned 1 ----------------------------
6. Abilita l'autenticazione senza password utilizzando la chiave privata
Se desideri autenticarti su un server senza password, copia la tua chiave pubblica su FreeIPA Server. Nel profilo utente, fai clic su Aggiungi pulsante in "Chiavi pubbliche SSH ", incolla la tua chiave pubblica nella casella e salva.
7. Rimozione del client FreeIPA
La rimozione del client FreeIPA su Ubuntu può essere eseguita eseguendo il comando:
$ sudo ipa-client-install --uninstall
Conclusione
In questa guida, siamo riusciti a installare e configurare il client FreeIPA su Ubuntu 20.04.