FreeIPAは、RedHatが後援する無料のオープンソースのIdentity、Policy、and Audit(IPA)スイートです。これは、Linux(Fedora)、389 Directory Server、MIT Kerberos、NTP、DNS Bind、Dogtag、Apache Webサーバー、およびPythonのIPAソリューションの組み合わせです。
以前のガイドでは、CentOS7サーバーでのFreeIPAのインストールと構成をすでに示しました。ただし、このガイドでは、FreeIPAクライアントのインストールと構成について説明します。
現在、FreeIPAにはCentOS 7、Fedora、およびUbuntu用のクライアントパッケージがあります。このガイドでは、Ubuntu 18.04BionicBeaverサーバーにFreeIPAクライアントをインストールして構成します。
- FreeIPAサーバーがインストールされているサーバー。
- Ubuntu18.04バイオニックビーバー
- root権限
何をしますか?
- クライアントDNSレコードを追加する
- クライアントDNSリゾルバーをセットアップする
- FQDNの設定
- Ubuntu18.04にFreeIPAクライアントをインストールする
- ホームディレクトリの自動作成を有効にする
- FreeIPAクライアントのインストールを確認する
- テスト
まず、クライアントホストのDNSレコードをFreeIPAサーバーに追加する必要があります。
FreeIPAサーバーにログインし、次のコマンドを使用してKerberos管理者に認証します。
kinit admin
TYPE YOUR PASSWORD
その後、クライアントホストのDNSレコードをFreeIPAサーバーに追加します。
ipa dnsrecord-add hakase-labs.io client1 --a-rec 10.9.9.16
DNS自動検出セットアップを使用してクライアントを構成するには、FreeIPAサーバーのIPアドレスをネームサーバーとして使用するようにクライアントDNSリゾルバーを編集する必要があります。
'/etc/resolv.conf'ファイルを編集します。
vim /etc/resolv.conf
ドメイン名とIPアドレスを独自のFreeIPAサーバーに置き換えて、そこに貼り付けます。
search hakase-labs.io
nameserver 10.9.9.15
DNSリゾルバーを構成した後、クライアントホストのFQDN(完全修飾ドメイン名)を構成する必要があります。次に、FreeIPAサーバーのIPアドレスとドメイン名を「/ etc/hosts」ファイルに追加します。
次のコマンドを実行して、クライアントのFQDNを変更します。
hostnamectl set-hostname client1.hakase-labs.io
次に、vimエディターを使用して「/ etc/hosts」ファイルを編集します。
vim /etc/hosts
構成を次のように変更して貼り付けます。
10.9.9.15 ipa.hakase-labs.io ipa
10.9.9.16 client1.hakase-labs.io client1
保存して閉じ、「exit」コマンドを入力してサーバーからログアウトします。
次に、サーバーに再度ログインし、次のコマンドを使用してFQDNを確認します。
hostname -f
デフォルトでは、Ubuntuは独自のリポジトリでFreeIPAクライアントパッケージを提供します。したがって、以下のコマンドを実行するだけでFreeIPAクライアントパッケージをインストールできます。
sudo apt-get install freeipa-client oddjob-mkhomedir -y
その後、以下のFreeIPAクライアントコマンドのインストールを実行します。
ipa-client-install --mkhomedir --no-ntp
DNS自動検出から生成されたプロファイル値を使用してシステム変更を適用するには、「yes」と入力します。インストールが完了すると、「ipa-client-installコマンドが成功しました」などの結果が表示されます。
さらに:
- 自動検出ホストで失敗した場合は、FreeIPAサーバーのDNSが「/etc/resolv.confファイル」の一番上の行にあることを確認し、DNSポート「53」がサーバーで開いていることを確認してください。
- FreeIPAサーバーへの参加プロセス中にエラーが発生した場合は、「-force-join」オプションを使用できます。
Ubuntuサーバーでは、ユーザーごとに自動的に作成されたホームディレクトリは最初は機能しません。 '--mkhomedir'オプションを使用したipaクライアントのインストールでも。
これをUbuntuサーバーで機能させるには、追加のパッケージをインストールし、PAM(Pluggable Authentication Modules)構成を追加する必要があります。
追加のパッケージが上部にインストールされているため、新しいPAM構成を作成する必要があります。
次のコマンドを実行して、ホームディレクトリを自動的に作成するための新しいPAM構成を追加します。
cat > /usr/share/pam-configs/mkhomedir <<EOF
Name: create home directory FreeIPA
Default: yes
Priority: 900
Session-Type: Additional
Session:
required pam_mkhomedir.so umask=0022 skel=/etc/skel
EOF
その後、新しいPAM構成を適用します。
sudo pam-auth-update
これで、FreeIPAユーザーを使用してクライアントホストにログインするすべてのユーザーが、ホームディレクトリを自動的に作成します。
FreeIPAクライアントのインストールと構成が完了したら、FreeIPAサーバーからクライアントホストを確認して確認します。
FreeIPAサーバーで次のコマンドを実行します。
ipa host-show client1.hakase-labs.io
自分の情報でホストの名前を変更すると、ホスト情報が表示されます。
さらに、FreeIPAWeb-UIダッシュボードからもう一度確認したいと思います。
FreeIPAダッシュボードにログインし、[ホスト]タブをクリックします。そして、あなたはあなた自身のホスト情報を見せられます。
この例では、FreeIPAサーバーに新しいユーザーを作成してFreeIPAクライアントのインストールをテストします。
次のコマンドを実行して、新しいユーザーを作成します。
ipa user-add misaka --first=misaka --last=mikoto [email protected] --shell=/bin/bash --password
その後、FreeIPAサーバーからSSH経由でクライアントホストにログインしてみてください。
ssh [email protected]
そして最後に、最近作成したFreeIPAユーザーを使用してクライアントにログインします。
- https://www.freeipa.org/page/Documentation