前回の記事では、 FreeIPAについてすでに説明しました また、CentOS 7サーバーへのインストール手順については、この記事では、Ubuntu18.04およびCentOS7マシンをFreeIPAサーバーに統合して認証を一元化する方法について説明します。
続きを読む:CentOS7サーバーにFreeIPAをインストールして構成する方法
「sysadm 」ユーザーは、認証を一元化するためにLinuxシステム用のFreeIPAサーバーですでに作成されています。そうでない場合は、FreeIPAサーバーから以下のコマンドを実行してユーザーを作成します。
[[email protected] ~]# kinit admin Password for [email protected]: [[email protected] ~]# ipa config-mod --defaultshell=/bin/bash [[email protected] ~]# ipa user-add sysadm --first=System --last=Admin --password Password: Enter Password again to verify: ------------------- Added user "sysadm" ------------------- User login: sysadm First name: System Last name: Admin Full name: System Admin Display name: System Admin Initials: SA Home directory: /home/sysadm GECOS: System Admin Login shell: /bin/bash Principal name: [email protected] Principal alias: [email protected] User password expiration: 20181118194031Z Email address: [email protected] UID: 1285200003 GID: 1285200003 Password: True Member of groups: ipausers Kerberos keys available: True [[email protected] ~]#
最初のコマンドは、 Kerberosを取得することです すべてのユーザーのデフォルトのログインシェルを「/bin / bash」として設定するための資格情報と2番目のコマンド 」および「sysadm」という名前のユーザーを作成するために使用される3番目のコマンド 」
Ubuntu18.04システムでFreeIPAクライアントを構成する手順
ステップ:1)FreeIPAサーバーにUbuntu18.04システムのDNSレコードを追加します
FreeIPAサーバー(私の場合はCentOS 7にインストールされています)にログインし、以下のコマンドを実行してFreeIPAクライアント(Ubuntu 18.04システム)のDNSレコードを追加します
[[email protected] ~]# ipa dnsrecord-add linuxtechi.lan app01.linuxtechi.lan --a-rec 192.168.1.106 Record name: app01.linuxtechi.lan A record: 192.168.1.106 [[email protected] ~]#
上記のコマンドでapp01.linuxtechi.lan IPアドレスが192.168.1.106のUbuntu18.04システムです。
注: FreeIPAサーバーとクライアントが同じタイムゾーンにあり、NTPサーバーから時間を取得していることを確認してください。
手順:2)apt-getコマンドを使用してFreeIPAクライアントパッケージをインストールします
以下のコマンドをubuntuシステムから実行して、依存関係とともにfreeipa-clientをインストールします。
[email protected]:~$ sudo apt-get install freeipa-client oddjob-mkhomedir -y
freeipa-clientのインストール中に、画面の下に表示されます。Enterキーを押してスキップします
ステップ:3)FreeIPAクライアントの/ etc / hostsファイルを更新します(Ubuntu 18.04)
以下のFreeIPAサーバーのエントリを/etc/hostsファイルに追加します
[email protected]:~$ echo "192.168.1.105 ipa.linuxtechi.lan ipa" | sudo tee -a /etc/hosts
設定に合わせてIPアドレスとホスト名を変更してください。
手順:4)コマンド「ipa-client-install」を使用してFreeIPAクライアントを構成します
次に、「ipa-client-install」コマンドを実行して、ubuntu18.04システムでfreeipa-clientを構成します。
[email protected]:~$ sudo ipa-client-install --hostname=`hostname -f` --mkhomedir --server=ipa.linuxtechi.lan --domain linuxtechi.lan --realm LINUXTECHI.LAN
セットアップに適したFreeIPAサーバーのアドレス、ドメイン名、およびレルムを変更します。
上記のコマンドの出力は次のようになります:
ユーザーがFreeIPAサーバーで初めて認証されたときに、ユーザーのホームディレクションが自動的に作成されるようになりました。
ファイル「/usr/ share / pam-configs/mkhomedir」に次の行を追加します
必要なpam_mkhomedir.soumask=0022 skel =/ etc / skel
[email protected]:~$ echo "required pam_mkhomedir.so umask=0022 skel=/etc/skel" | sudo tee -a /usr/share/pam-configs/mkhomedir
次のコマンドを使用して上記の変更を適用します
[email protected]:~$ sudo pam-auth-update
[OK]を選択し、Enterキーを押します
次に、sysadmユーザーを使用してUbuntu18.04システムにログインまたはSSHで接続してみます。
ステップ:5)sysadmユーザーを使用してUbuntu18.04システムにログインしてみます
次に、sysadmユーザーを使用してubuntu18.04システムにSSH接続します。
# ssh [email protected] [email protected]'s password: X11 forwarding request failed on channel 0 Password expired. Change your password now. Creating directory '/home/sysadm'. Welcome to Ubuntu 18.04 LTS (GNU/Linux 4.15.0-20-generic x86_64) * Documentation: https://help.ubuntu.com * Management: https://landscape.canonical.com * Support: https://ubuntu.com/advantage * Canonical Livepatch is available for installation. - Reduce system reboots and improve kernel security. Activate at: https://ubuntu.com/livepatch 418 packages can be updated. 166 updates are security updates. WARNING: Your password has expired. You must change your password now and login again! Current Password: New password: Retype new password: passwd: password updated successfully Connection to 192.168.1.106 closed.
ご覧のとおり、最初の認証では、パスワードの有効期限が切れると新しいパスワードを設定するように求められ、そのセッションが切断されます。
次に、ubuntuシステムをsshしてみてください。今回は、接続できるはずです。
# ssh [email protected] Welcome to Ubuntu 18.04 LTS (GNU/Linux 4.15.0-20-generic x86_64) Last login: Sat Dec 8 21:37:44 2018 from 192.168.1.101 /usr/bin/xauth: timeout in locking authority file /home/sysadm/.Xauthority [email protected]:~$ [email protected]:~$ id uid=1285200003(sysadm) gid=1285200003(sysadm) groups=1285200003(sysadm) [email protected]:~$
これにより、Ubuntu18.04システムでFreeIPAクライアントが正常に構成されたことを確認できます。
CentOS7システムでFreeIPAクライアントを構成する手順
ステップ:1)FreeIPAサーバーにCentOS7のDNSレコードを追加する
FreeIPAサーバーから次のコマンドを実行します
[[email protected] ~]# ipa dnsrecord-add linuxtechi.lan db01.linuxtechi.lan --a-rec 192.168.1.103 Record name: db01.linuxtechi.lan A record: 192.168.1.103 [[email protected] ~]#
ステップ:2)FreeIPAサーバーの詳細を/ etc/hostsに追加します
centos 7システムにログインし、/ etc/hostsファイルに以下を追加します
[[email protected] ~]# echo "192.168.1.105 ipa.linuxtechi.lan ipa" >> /etc/hosts [[email protected] ~]# echo "192.168.0.103 db01.linuxtechi.lan" >> /etc/hosts
ステップ:3FreeIPAクライアントのインストールと構成
以下のコマンドを使用して、CentOS7システムにFreeIPAクライアントをインストールします
[[email protected] ~]# yum install freeipa-client -y
次に、「ipa-client-install」コマンドを使用してFreeIPAクライアントを構成します。
[[email protected] ~]# ipa-client-install --hostname=`hostname -f` --mkhomedir --server=ipa.linuxtechi.lan --domain linuxtechi.lan --realm LINUXTECHI.LAN
Ubuntu18.04システムで同じコマンドを使用しているときに使用したものと同じ詳細と資格情報を使用します
上記のコマンドが正常に実行された場合は、次のような出力が必要です。
……………………………………………… [try 1]: Forwarding 'host_mod' to json server 'https://ipa.linuxtechi.lan/ipa/session/json' Could not update DNS SSHFP records. SSSD enabled Configured /etc/openldap/ldap.conf Configured /etc/ssh/ssh_config Configured /etc/ssh/sshd_config Configuring linuxtechi.lan as NIS domain. Client configuration complete. The ipa-client-install command was successful [[email protected] ~]#
以下のコマンドを実行して、最初のログイン時にユーザーのホームディレクトリが自動的に作成されるようにします。
[[email protected] ~]# authconfig --enablemkhomedir --update [[email protected] ~]#
これで、sysadmユーザーを使用してCentOS7システムにログインできるようになります。
Ubuntu 18.04 /CentOS7からFreeIPAクライアントをアンインストールする手順
[[email protected] ~]# ipa-client-install --uninstall [[email protected] ~]# rm -rf /var/lib/sss/db/* [[email protected] ~]# systemctl restart sssd.service
この記事の内容は以上です。フィードバックやコメントを共有してください。