环境
我们有一台 RHEL 7.6 客户端和一台 FreeIPA 服务器。
FreeIPA服务器
- 主机名 - ipaserver.onitroad.com
- IP 地址 - 192.168.1.200/24
Kerberos 客户端
- 主机名 - client2.onitroad.com
- IP 地址 - 192.168.1.202/24
Kerberos 服务器-客户端配置
连接到 client2.onitroad.com 并将其配置为 Kerberos 身份验证。
配置 DNS 解析。
[root@client2 ~]# nmcli connection modify eno16777728 ipv4.dns 192.168.1.200 [root@client2 ~]# nmcli connection down eno16777728 ; nmcli connection up eno16777728 Connection successfully activated (D-Bus active path: /org/freedesktop/NetworkManager/ActiveConnection/1)
使用 yum 命令安装所需的包。
[root@client2 ~]# yum install -y krb5-workstation sssd pam_krb5 Loaded plugins: langpacks, product-id, subscription-manager This system is not registered to Red Hat Subscription Management. You can use subscription-manager to register. Package krb5-workstation-1.11.3-49.el7.x86_64 already installed and latest version Package sssd-1.11.2-65.el7.x86_64 already installed and latest version Package pam_krb5-2.4.8-4.el7.x86_64 already installed and latest version Nothing to do
我已经安装了所需的软件包。
因此 yum 不对我的机器执行任何操作。
从 ipaserver.onitroad.com 下载密钥表文件。
[root@client2 ~]# wget ftp://ipaserver/pub/client2.keytab -O /etc/krb5.keytab [root@client2 ~]# klist -k Keytab name: FILE:/etc/krb5.keytab KVNO Principal ---- ------------------------------------------------------------------------- 1 host/client2.onitroad.com@EXAMPLE.COM 1 host/client2.onitroad.com@EXAMPLE.COM 1 host/client2.onitroad.com@EXAMPLE.COM 1 host/client2.onitroad.com@EXAMPLE.COM 1 host/client2.onitroad.com@EXAMPLE.COM 1 host/client2.onitroad.com@EXAMPLE.COM [root@client2 ~]#
我们的密钥表现在就位。
现在让我们配置 Kerberos 身份验证。
[root@client2 ~]# authconfig --update --enablekrb5 --krb5realm=EXAMPLE.COM --krb5kdc=ipaserver.onitroad.com --krb5adminserver=ipaserver.onitroad.com
我们已成功配置我们的 Red Hat Enterprise Linux (RHEL) 7 机器以使用 Kerberos 服务器进行身份验证。
on it road.com
Kerberos 服务器端配置
虽然 Kerberos 服务器端配置不是 RHCE 目标的要求,但由于我们是在自己的测试环境中练习。
因此,最好了解添加 Kerberos Client 的服务器端配置。
将 client2.onitroad.com 机器添加到 Kerberos 服务器。
连接到 ipaserver.onitroad.com 并执行以下命令。
[root@ipaserver ~]# kinit admin Password for admin@EXAMPLE.COM: [root@ipaserver ~]# ipa host-add --ip-address 192.168.1.202 client2.onitroad.com ------------------------------- Added host "client2.onitroad.com" ------------------------------- Host name: client2.onitroad.com Principal name: host/client2.onitroad.com@EXAMPLE.COM Password: False Keytab: False Managed by: client2.onitroad.com [root@ipaserver ~]# ipa dnsrecord-add onitroad.com client2 --ttl=3600 --a-ip-address=192.168.1.202 Record name: client2 Time to live: 3600 A record: 192.168.1.202
为 client2.onitroad.com 生成 Kerberos 密钥表。
[root@ipaserver ~]# ipa-getkeytab -s ipaserver.onitroad.com -p host/client2.onitroad.com -k /var/ftp/pub/client2.keytab Keytab successfully retrieved and stored in: /var/ftp/pub/client2.keytab [root@ipaserver ~]# chmod 644 /var/ftp/pub/client2.keytab
日期:2020-09-17 00:11:54 来源:oir作者:oir