GNU/Linux >> Linux の 問題 >  >> Ubuntu

Ubuntu20.04にFreeIPAクライアントをインストールして構成する方法

FreeIPAは、RedHatが後援するオープンソースのID管理システムです。簡単に管理できるID、ポリシー、および監査を提供することを目的としています。

この統合により、システム管理者はFreeIPAサーバー上でサーバーを一元的に便利に構成できます。クライアントマシンで管理コマンドが実行されると、FreeIPAクライアントはそれをサーバーに送信して実行します。

関連コンテンツ

  • FreeIPAサーバーでユーザーとグループを管理する方法
  • Rocky Linux / Alma Linux /CentOS8にFreeIPAクライアントをインストールする方法
  • Rocky Linux /Centos8にFreeIPAをインストールして構成する方法
  • Fedora35にFreeIPAクライアントをインストールする方法

前提条件

フォローするには、次のものがあることを確認してください

  • 更新されたUbuntu20.04サーバー/ワークステーション
  • クライアントが参加するFreeIPAサーバー
  • サーバーまたはsudoアクセス権を持つユーザーへのsudoアクセス
  • サーバーからのインターネットアクセス

目次

  1. システムの更新
  2. FreeIPAパッケージのインストール
  3. クライアントの設定
  4. 最初のログインでホームディレクトリの作成を有効にする
  5. クライアントの追加をテストする
  6. FreeIPAipaコマンドライン管理ツールの使用
  7. 秘密鍵を使用してパスワードなしの認証を有効にする
  8. FreeIPAクライアントの削除

1。システムの更新

システムパッケージが更新されていることを確認します

sudo apt update
sudo apt upgrade

2。 FreeIPAパッケージのインストール

FreeIPAクライアントは、Ubuntuのリポジトリで利用できます。次のコマンドを使用してインストールします:

sudo apt install -y freeipa-client

サーバーにKerberosレルムを提供するように求められたら、< Enter>を押してスキップします。 キー。

このコマンドを使用してクライアントの追加を確認します

$ apt-cache policy freeipa-client
freeipa-client:
  Installed: 4.8.6-1ubuntu2
  Candidate: 4.8.6-1ubuntu2
  Version table:
 *** 4.8.6-1ubuntu2 500
        500 http://us-west-2.ec2.archive.ubuntu.com/ubuntu focal/universe amd64 Packages
        100 /var/lib/dpkg/status

2。クライアントの設定

FreeIPAクライアントパッケージのインストールが完了したら。 IPAサーバーのホスト名とIPアドレスを/etc / hostsに追加します DNS解決が機能していない場合は、ファイルを作成してください。

クライアントでhostsファイルを開きます:

sudo vim /etc/hosts

次に、これを追加します:

10.2.40.149 ipa.citizix.com
10.2.40.70 ubuntu-client.citizix.com

システムのホスト名を設定します。

sudo hostnamectl set-hostname ubuntu-client.citizix.com

タイムゾーンを自分のタイムゾーンに更新します:

sudo timedatectl set-timezone Africa/Nairobi

次に、FreeIPAサーバーとドメイン名を指定してクライアントをセットアップできます

sudo ipa-client-install --server=ipa.citizix.com --domain ipa.citizix.com

この例のように、ipaクライアントのホスト名、サーバー、ドメイン、およびレルムを指定する引数をさらに追加することもできます。

sudo ipa-client-install --hostname=fedora-client.citizix.com \
 --mkhomedir \
 --server=ipa.citizix.com \
 --domain ipa.citizix.com \
 --realm IPA.CITIZIX.COM

これが私の出力です。これに似たものが表示されるはずです

$ sudo ipa-client-install --server=ipa.citizix.com --domain ipa.citizix.com
This program will set up FreeIPA client.
Version 4.8.6

WARNING: conflicting time&date synchronization service 'ntp' will be disabled in favor of chronyd

Autodiscovery of servers for failover cannot work with this configuration.
If you proceed with the installation, services will be configured to always access the discovered server for all operations and will not fail over to other servers in case of failure.
Proceed with fixed values and no DNS discovery? [no]: yes
Do you want to configure chrony with NTP server or pool address? [no]: no
Client hostname: ubuntu-client.citizix.com
Realm: IPA.CITIZIX.COM
DNS Domain: ipa.citizix.com
IPA Server: ipa.citizix.com
BaseDN: dc=ipa,dc=citizix,dc=com

Continue to configure the system with these values? [no]: yes
Synchronizing time
No SRV records of NTP servers found and no NTP server or pool address was provided.
Using default chrony configuration.
Attempting to sync time with chronyc.
Time synchronization was successful.
User authorized to enroll computers: admin
Password for [email protected]:
Successfully retrieved CA cert
    Subject:     CN=Certificate Authority,O=IPA.CITIZIX.COM
    Issuer:      CN=Certificate Authority,O=IPA.CITIZIX.COM
    Valid From:  2021-11-09 05:42:01
    Valid Until: 2041-11-09 05:42:01

Enrolled in IPA realm IPA.CITIZIX.COM
Created /etc/ipa/default.conf
Configured sudoers in /etc/nsswitch.conf
Configured /etc/sssd/sssd.conf
Configured /etc/krb5.conf for IPA realm IPA.CITIZIX.COM
Systemwide CA database updated.
Adding SSH public key from /etc/ssh/ssh_host_rsa_key.pub
Adding SSH public key from /etc/ssh/ssh_host_ecdsa_key.pub
Adding SSH public key from /etc/ssh/ssh_host_ed25519_key.pub
Adding SSH public key from /etc/ssh/ssh_host_dsa_key.pub
Could not update DNS SSHFP records.
SSSD enabled
Configured /etc/openldap/ldap.conf
Configured /etc/ssh/ssh_config
Configured /etc/ssh/sshd_config
Configuring ipa.citizix.com as NIS domain.
Client configuration complete.
The ipa-client-install command was successful

3。最初のログインでホームディレクトリの作成を有効にする

デフォルトでは、sssdサービスは最初のログイン時にユーザーのホームディレクトリを作成しません。PAM構成ファイルを変更してこの機能を有効にする必要があります。

sudo bash -c "cat > /usr/share/pam-configs/mkhomedir" <<EOF
Name: activate mkhomedir
Default: yes
Priority: 900
Session-Type: Additional
Session:
required pam_mkhomedir.so umask=0022 skel=/etc/skel
EOF

次に実行します:

sudo pam-auth-update

「mkhomedirをアクティブ化」を確認します が選択されている場合は、[*]が必要です。 を選択します 。

4。クライアントの追加をテストする

クライアントが正常に追加されたことをテストするには、freeipaのユーザーでログインします。初めてログインする場合は、パスワード変更のプロンプトが表示されます。そうでない場合は、次のように表示されます。

$ ssh [email protected]
([email protected]) Password:
Last login: Sat Nov 13 08:29:12 2021 from 10.2.40.174

[[email protected] ~]$

5。 FreeIPAipaコマンドライン管理ツールの使用

ipaコマンドラインツールを使用して、クライアントマシンからFreeIPAサーバーを管理できます。

まず、Kerberosチケットを取得します。

$ kinit admin
Password for [email protected]:

klistを使用してチケットの有効期限情報を確認してください。 

$ klist
Ticket cache: KEYRING:persistent:1000:1000
Default principal: [email protected]

Valid starting     Expires            Service principal
11/14/21 16:40:33  11/15/21 16:40:16  krbtgt/[email protected]

ユーザーアカウントを追加し、存在するアカウントを一覧表示してテストします:

$ sudo ipa user-add kip \
     --first=Kipkoech \
     --last=Towett \
     [email protected] \
     --password

Password:
Enter Password again to verify:
----------------
Added user "kip"
----------------
  User login: kip
  First name: Kipkoech
  Last name: Towett
  Full name: Kipkoech Towett
  Display name: Kipkoech Towett
  Initials: KT
  Home directory: /home/kip
  GECOS: Kipkoech Towett
  Login shell: /bin/bash
  Principal name: [email protected]
  Principal alias: [email protected]
  User password expiration: 20211112183007Z
  Email address: [email protected]
  UID: 1063800003
  GID: 1063800003
  Password: True
  Member of groups: ipausers
  Kerberos keys available: True

確認します。

$ ipa user-find kip
--------------
1 user matched
--------------
  User login: kip
  First name: Kipkoech
  Last name: Towett
  Home directory: /home/kip
  Login shell: /bin/bash
  Principal name: [email protected]
  Principal alias: [email protected]
  Email address: [email protected]
  UID: 1063800003
  GID: 1063800003
  Account disabled: False
----------------------------
Number of entries returned 1
----------------------------

6。秘密鍵を使用してパスワードなしの認証を有効にする

パスワードなしでサーバーへの認証を行う場合は、公開鍵をFreeIPAサーバーにコピーします。ユーザープロファイルで、[追加]をクリックします 「SSH公開鍵」の下のボタン 「、公開鍵をボックスに貼り付けて保存します。

7。 FreeIPAクライアントの削除

UbuntuでのFreeIPAクライアントの削除は、次のコマンドを実行することで実行できます:

$ sudo ipa-client-install  --uninstall

結論

このガイドでは、Ubuntu20.04にFreeIPAクライアントをインストールしてセットアップすることができました。


Ubuntu

  1. Ubuntu18.04にRedisをインストールして構成する方法

  2. Ubuntu18.04にRedmineをインストールして設定する方法

  3. Ubuntu20.04にFreeIPAクライアントをインストールして構成する方法

  1. Ubuntu18.04にSambaをインストールして設定する方法

  2. Ubuntu20.04にRedisをインストールして構成する方法

  3. Ubuntu20.04にJenkinsをインストールして構成する方法

  1. Ubuntu16.04にAskbotをインストールして構成する方法

  2. Ubuntu14.04にMongoDBをインストールして構成する方法

  3. Ubuntu16.04にSolr6をインストールして構成する方法