FreeIPA 是一個強大的開源身份管理系統(tǒng)，提供集中的身份驗證、授權(quán)和計費服務(wù)。

在我們之前的帖子中，我們已經(jīng)討論了 FreeIPA 服務(wù)器在 RHEL8/Rokcy Linux 8/ AlmaLinux 8 上的安裝步驟。

在 FreeIPA 服務(wù)器上創(chuàng)建用戶進(jìn)行集中認(rèn)證

登錄到你的 FreeIPA 服務(wù)器并創(chuàng)建一個名為 sysadm 的用戶，運行以下命令:

$ sudo kinit admin
Password for admin@LINUXTECHI.LAN:
$
$ sudo ipa config-mod --defaultshell=/bin/bash
$ sudo ipa user-add sysadm --first=System --last=Admin --password
Password:
Enter Password again to verify:
-------------------
Added user "sysadm"
-------------------
User login: sysadm
First name: System
Last name: Admin
Full name: System Admin
Display name: System Admin
Initials: SA
Home directory: /home/sysadm
GECOS: System Admin
Login shell: /bin/bash
Principal name: sysadm@LINUXTECHI.LAN
Principal alias: sysadm@LINUXTECHI.LAN
User password expiration: 20230415073041Z
Email address: sysadm@linuxtechi.lan
UID: 464600003
GID: 464600003
Password: True
Member of groups: ipausers
Kerberos keys available: True
$

第一個命令是獲取 Kerberos 憑證，第二個命令將所有用戶的默認(rèn)登錄 shell 設(shè)置為 /bin/bash，第三個命令用于創(chuàng)建名為 sysadm 的用戶。

在 Ubuntu 22.04 /20.04 上配置 FreeIPA 客戶端的步驟

執(zhí)行以下步驟來配置 FreeIPA 客戶端以進(jìn)行集中身份驗證。

1、在 FreeIPA 服務(wù)器上添加 Ubuntu 系統(tǒng)的 DNS 記錄

登錄到你的 FreeIPA 服務(wù)器并運行以下命令為 FreeIPA 客戶端（即 Ubuntu 22.04/20.04）添加 DNS 記錄：

$ sudo ipa dnsrecord-add linuxtechi.lan app01.linuxtechi.lan --a-rec 192.168.1.106
  Record name: app01.linuxtechi.lan
  A record: 192.168.1.106
$

在上面的命令中，app01.linuxtechi.lan 是我的 Ubuntu 系統(tǒng)，IP 地址為 192.168.1.106。

注意：確保你的 FreeIPA 服務(wù)器和客戶端處于同一時區(qū)并從 NTP 服務(wù)器獲取時間。

2、安裝 FreeIPA 客戶端包

從你的 Ubuntu 系統(tǒng)運行以下命令以安裝 freeipa-client 以及依賴項：

$ sudo apt install freeipa-client oddjob-mkhomedir -y

在安裝 freeipa-client 時，我們將看到以下頁面，選擇確定并回車。

在下一個屏幕中，按回車鍵跳過。

3、在主機文件中添加 FreeIPA 服務(wù)器 IP 和主機名

在 /etc/hosts 文件中添加以下 FreeIPA 服務(wù)器條目：

$ echo "192.168.1.102 ipa.linuxtechi.lan ipa" | sudo tee -a /etc/hosts
$ echo "192.168.1.106 app01.linuxtechi.lan app01" | sudo tee -a /etc/hosts

更改適合你的設(shè)置的 IP 地址和主機名。

4、使用 ipa-client-install 配置 FreeIPA 客戶端

現(xiàn)在運行以下 ipa-client-install 命令在你的 Ubuntu 系統(tǒng)上配置 FreeIPA 客戶端：

$ sudo ipa-client-install --hostname=`hostname -f` --mkhomedir --server=ipa.linuxtechi.lan --domain linuxtechi.lan --realm LINUXTECHI.LAN

更改適合你設(shè)置的 FreeIPA 服務(wù)器地址、域名和領(lǐng)域。

上述命令的輸出如下所示：

完美，上面的輸出確認(rèn) FreeIPA 客戶端安裝成功。

現(xiàn)在允許在用戶首次使用 FreeIPA 服務(wù)器進(jìn)行身份驗證時自動創(chuàng)建用戶的主目錄。

在文件 /usr/share/pam-configs/mkhomedir 中添加以下行：

required pam_mkhomedir.so umask=0022 skel=/etc/skel

$ echo "required pam_mkhomedir.so umask=0022 skel=/etc/skel" | sudo tee -a /usr/share/pam-configs/mkhomedir

要使上述更改生效，請運行以下命令：

$ sudo pam-auth-update

選擇確定，然后按回車鍵。

5、嘗試使用 sysadm 用戶登錄到你的 Ubuntu 系統(tǒng)

嘗試使用 sysadm 用戶通過 SSH 登錄到你的 Ubuntu 系統(tǒng)，

$ ssh sysadm@192.168.1.106

正如你在上面看到的，當(dāng)我們第一次登錄時，它說密碼已過期。它將提示我們設(shè)置新密碼并斷開會話。

更新密碼后，嘗試 SSH 登錄 Ubuntu 系統(tǒng)，這次我們應(yīng)該可以登錄了。

$ ssh sysadm@192.168.1.106

輸出：

太好了，上面的輸出確認(rèn)我們已經(jīng)使用集中用戶成功登錄到我們的 Ubuntu 系統(tǒng)。這也說明我們已經(jīng)成功配置了 FreeIPA 客戶端。

如果你想從 ubuntu 系統(tǒng)中卸載 FreeIPA，然后運行以下命令集：

$ sudo ipa-client-install --uninstall
$ sudo  rm -rf /var/lib/sss/db/*
$ sudo systemctl restart sssd.service

以上就是這篇文章的全部內(nèi)容，我相信你已經(jīng)發(fā)現(xiàn)它提供了很多信息。請在下面發(fā)表你的疑問和反饋。