GNU/Linux >> Linux Esercitazione >  >> Fedora

Come installare il client FreeIPA su Fedora 35

Queste integrazioni consentono a un amministratore di sistema di configurare comodamente il server centralmente, sul server FreeIPA. Quando un comando di gestione viene eseguito sulla macchina del Cliente, il client FreeIPA lo invia al server dove viene eseguito.

Contenuti correlati

  • Come gestire utenti e gruppi in FreeIPA Server
  • Come installare il client FreeIPA su Rocky Linux/Alma Linux/CentOS 8
  • Come installare e configurare FreeIPA su Rocky Linux/Centos 8
  • Come installare e configurare il client FreeIPA su Ubuntu 20.04
  • Come configurare la replica FreeIPA su Rocky Linux/Alma Linux/Centos 8

Prerequisiti

Per seguire, assicurati di avere quanto segue

  • Un server/workstation Fedora 35 aggiornato
  • Un server IPA a cui si unirà il client
  • Sudo accesso al server o utente con accesso sudo
  • Accesso a Internet dal server

Indice dei contenuti

  1. Installazione dei pacchetti FreeIPA
  2. Configurazione del Cliente
  3. Abilita Creazione di home directory al primo Login
  4. Test aggiunta client
  5. Utilizzo dello strumento di gestione della riga di comando di FreeIPA ipa
  6. Abilita l'autenticazione senza password utilizzando la chiave privata
  7. Rimozione del client IPA Rocky Linux/Alma Linux

1. Installazione dei pacchetti FreeIPA

Su Fedora 35 Server/Workstation, il client FreeIPA è disponibile nei repository predefiniti come freeipa-client . Cerca usando questo comando:

sudo dnf search freeipa-client

Installa i pacchetti del client FreeIPA usando questo comando.

sudo dnf -y install freeipa-client

Conferma l'aggiunta del client utilizzando rpm -qi comando

$ rpm -qi freeipa-client
Name        : freeipa-client
Version     : 4.9.7
Release     : 2.fc35
Architecture: x86_64
Install Date: Sat 13 Nov 2021 08:22:50 AM UTC
Group       : Unspecified
Size        : 242563
License     : GPLv3+
Signature   : RSA/SHA256, Fri 15 Oct 2021 07:13:26 PM UTC, Key ID db4639719867c58f
Source RPM  : freeipa-4.9.7-2.fc35.src.rpm
Build Date  : Fri 15 Oct 2021 06:59:37 PM UTC
Build Host  : buildvm-x86-25.iad2.fedoraproject.org
Packager    : Fedora Project
Vendor      : Fedora Project
URL         : http://www.freeipa.org/
Bug URL     : https://bugz.fedoraproject.org/freeipa
Summary     : IPA authentication for use on clients
Description :
IPA is an integrated solution to provide centrally managed Identity (users,
hosts, services), Authentication (SSO, 2FA), and Authorization
(host access control, SELinux user roles, services). The solution provides
features for further integration with Linux based clients (SUDO, automount)
and integration with Active Directory based infrastructures (Trusts).
If your network uses IPA for authentication, this package should be
installed on every client machine.
This package provides command-line tools for IPA administrators.

2. Configurazione del cliente

Una volta completata l'installazione dei pacchetti del client FreeIPA. Aggiungi il nome host e l'indirizzo IP del tuo server IPA a /etc/hosts  file se non hai una risoluzione DNS funzionante.

echo "10.2.40.149 ipa.citizix.com" | sudo tee /etc/hosts

Imposta il nome host del tuo sistema.

sudo hostnamectl set-hostname fedora-client.citizix.com

Possiamo quindi configurare il client specificando il server FreeIPA e il nome di dominio

sudo ipa-client-install --server=ipa.citizix.com --domain ipa.citizix.com

Puoi anche aggiungere più argomenti specificando il nome host, il server, il dominio e il dominio del client ipa come in questo esempio.

sudo ipa-client-install --hostname=fedora-client.citizix.com \
 --mkhomedir \
 --server=ipa.citizix.com \
 --domain ipa.citizix.com \
 --realm IPA.CITIZIX.COM

Questa è la mia uscita. Dovresti vedere qualcosa di simile a questo

$ sudo ipa-client-install --server=ipa.citizix.com --domain ipa.citizix.com
This program will set up IPA client.
Version 4.9.7

Autodiscovery of servers for failover cannot work with this configuration.
If you proceed with the installation, services will be configured to always access the discovered server for all operations and will not fail over to other servers in case of failure.
Proceed with fixed values and no DNS discovery? [no]: yes
Do you want to configure chrony with NTP server or pool address? [no]: no
Client hostname: fedora-client.citizix.com
Realm: IPA.CITIZIX.COM
DNS Domain: ipa.citizix.com
IPA Server: ipa.citizix.com
BaseDN: dc=ipa,dc=citizix,dc=com

Continue to configure the system with these values? [no]: yes
Synchronizing time
No SRV records of NTP servers found and no NTP server or pool address was provided.
Using default chrony configuration.
Attempting to sync time with chronyc.
Time synchronization was successful.
User authorized to enroll computers: admin
Password for [email protected]:
Successfully retrieved CA cert
    Subject:     CN=Certificate Authority,O=IPA.CITIZIX.COM
    Issuer:      CN=Certificate Authority,O=IPA.CITIZIX.COM
    Valid From:  2021-11-09 05:42:01
    Valid Until: 2041-11-09 05:42:01

Enrolled in IPA realm IPA.CITIZIX.COM
Created /etc/ipa/default.conf
Configured sudoers in /etc/authselect/user-nsswitch.conf
Configured /etc/sssd/sssd.conf
Configured /etc/krb5.conf for IPA realm IPA.CITIZIX.COM
Systemwide CA database updated.
Hostname (fedora-client.citizix.com) does not have A/AAAA record.
Failed to update DNS records.
Missing A/AAAA record(s) for host fedora-client.citizix.com: 10.2.40.174.
Incorrect reverse record(s):
10.2.40.174 is pointing to ip-10-2-40-174.us-west-2.compute.internal. instead of fedora-client.citizix.com.
Adding SSH public key from /etc/ssh/ssh_host_rsa_key.pub
Adding SSH public key from /etc/ssh/ssh_host_dsa_key.pub
Adding SSH public key from /etc/ssh/ssh_host_ecdsa_key.pub
Adding SSH public key from /etc/ssh/ssh_host_ed25519_key.pub
Could not update DNS SSHFP records.
SSSD enabled
Configured /etc/openldap/ldap.conf
Configured /etc/ssh/ssh_config
Configured /etc/ssh/sshd_config.d/04-ipa.conf
Configuring ipa.citizix.com as NIS domain.
Client configuration complete.
The ipa-client-install command was successful

3. Abilita la creazione di home directory al primo accesso

Se la home directory dell'utente non viene creata automaticamente, abilita questa funzione eseguendo il comando seguente. Questo creerà la home directory all'accesso iniziale.

$ sudo authselect enable-feature with-mkhomedir
Make sure that SSSD service is configured and enabled. See SSSD documentation for more information.

- with-mkhomedir is selected, make sure pam_oddjob_mkhomedir module
  is present and oddjobd service is enabled and active
  - systemctl enable --now oddjobd.service

$ sudo systemctl enable --now oddjobd
Created symlink /etc/systemd/system/multi-user.target.wants/oddjobd.service → /usr/lib/systemd/system/oddjobd.service.

4. Testare l'aggiunta del cliente

Per verificare che il client sia stato aggiunto correttamente, accediamo con un utente in freeipa. Se è la prima volta che accedi, dovresti vedere una richiesta di modifica della password, altrimenti vedrai questo:

$ ssh [email protected]
([email protected]) Password:
Last login: Sat Nov 13 08:29:12 2021 from 10.2.40.174

[[email protected] ~]$

5. Utilizzo dello strumento di gestione della riga di comando di FreeIPA ipa

Puoi amministrare FreeIPA Server dalla macchina client usando lo strumento a riga di comando ipa.

Innanzitutto, ottieni un ticket Kerberos.

$ kinit admin
Password for [email protected]:

Controlla le informazioni sulla scadenza del biglietto utilizzando klist. 

$ klist
Ticket cache: KCM:1000
Default principal: [email protected]

Valid starting       Expires              Service principal
11/12/2021 21:27:59  11/13/2021 21:27:47  krbtgt/[email protected]

Prova aggiungendo un account utente ed elencando gli account presenti:

$ sudo ipa user-add kip \
     --first=Kipkoech \
     --last=Towett \
     [email protected] \
     --password

Password:
Enter Password again to verify:
----------------
Added user "kip"
----------------
  User login: kip
  First name: Kipkoech
  Last name: Towett
  Full name: Kipkoech Towett
  Display name: Kipkoech Towett
  Initials: KT
  Home directory: /home/kip
  GECOS: Kipkoech Towett
  Login shell: /bin/bash
  Principal name: [email protected]
  Principal alias: [email protected]
  User password expiration: 20211112183007Z
  Email address: [email protected]
  UID: 1063800003
  GID: 1063800003
  Password: True
  Member of groups: ipausers
  Kerberos keys available: True

Verifica.

$ ipa user-find kip
--------------
1 user matched
--------------
  User login: kip
  First name: Kipkoech
  Last name: Towett
  Home directory: /home/kip
  Login shell: /bin/bash
  Principal name: [email protected]
  Principal alias: [email protected]
  Email address: [email protected]
  UID: 1063800003
  GID: 1063800003
  Account disabled: False
----------------------------
Number of entries returned 1
----------------------------

6. Abilita l'autenticazione senza password utilizzando la chiave privata

Se desideri autenticarti su un server senza password, copia la tua chiave pubblica su FreeIPA Server. Nel profilo utente, fai clic su Aggiungi  pulsante in "Chiavi pubbliche SSH ", incolla la tua chiave pubblica nella casella e salva.

7. Rimozione del client Fedora 35 IPA

La rimozione del client FreeIPA su Rocky Linux/Alma Linux 8 può essere eseguita eseguendo il comando:

$ sudo ipa-client-install  --uninstall

Conclusione

In questa guida, siamo riusciti a installare e configurare il client FreeIPA su un Fedora 35.


Fedora

  1. Come installare il client FreeIPA su CentOS 7

  2. Come installare Node.js su Fedora 35 / Fedora 34

  3. Come installare Java 17 in Fedora 35

  4. Come installare Notepad++ su Fedora 35

  5. Come installare Wireshark su Fedora 35

Come installare PowerShell su Fedora

Come installare Skype su Fedora 34/35

Come installare Discord su Fedora 34/35

Come installare SQLite su Fedora 35

Come installare LibreOffice su Fedora 35

Come installare Vai su Fedora 35