FreeIPA 客户端是使用来自 FreeIPA 服务器的服务来验证用户、系统、证书等的机器。
https://onitroad.com 更多教程
FreeIPA 服务器端配置:
连接到 ipaserver.onitroad.com 并将 ipaclient.onitroad.com 的“A”记录添加到 DNS 服务器。
[root@ipaserver ~]# kinit admin Password for admin@EXAMPLE.COM: [root@ipaserver ~]# ipa dnsrecord-add onitroad.com ipaclient --ttl=3600 --a-ip-address=192.168.1.201 Record name: ipaclient Time to live: 3600 A record: 192.168.1.201 [root@ipaserver ~]#
配置环境
FreeIPA 服务器
- IP 地址 - 192.168.1.200/24
- 主机名 - ipaserver.onitroad.com
FreeIPA 客户端
- IP 地址 - 192.168.1.201/24
- 主机名 - ipaclient.onitroad.com
FreeIPA 客户端配置
现在连接到 ipaclient.onitroad.com 并设置 DNS 服务器设置。
[root@ipaclient ~]# nmcli connection modify eno16777728 ipv4.dns 192.168.1.200 [root@ipaclient ~]# nmcli connection down eno16777728 ; nmcli connection up eno16777728 Connection successfully activated (D-Bus active path: /org/freedesktop/NetworkManager/ActiveConnection/2)
安装所需的软件包。
我们的客户端已经配置为使用本地 yum 存储库。
[root@ipaclient ~]# yum install -y ipa-client
现在让我们配置 FreeIPA 客户端。
[root@ipaclient ~]# ipa-client-install --force-ntpd
Discovery was successful!
Hostname: ipaclient.onitroad.com
Realm: EXAMPLE.COM
DNS Domain: onitroad.com
IPA Server: ipaserver.onitroad.com
BaseDN: dc=example,dc=com
Continue to configure the system with these values? [no]: yes
User authorized to enroll computers: admin
Synchronizing time with KDC...
Password for admin@EXAMPLE.COM:
Successfully retrieved CA cert
Subject: CN=Certificate Authority,O=EXAMPLE.COM
Issuer: CN=Certificate Authority,O=EXAMPLE.COM
Valid From: Fri Jul 27 17:03:24 2018 UTC
Valid Until: Tue Jul 27 17:03:24 2038 UTC
Enrolled in IPA realm EXAMPLE.COM
Created /etc/ipa/default.conf
New SSSD config will be created
Configured /etc/sssd/sssd.conf
Configured /etc/krb5.conf for IPA realm EXAMPLE.COM
trying https://ipaserver.onitroad.com/ipa/xml
Forwarding 'ping' to server 'https://ipaserver.onitroad.com/ipa/xml'
Forwarding 'env' to server 'https://ipaserver.onitroad.com/ipa/xml'
Adding SSH public key from /etc/ssh/ssh_host_rsa_key.pub
Adding SSH public key from /etc/ssh/ssh_host_ecdsa_key.pub
Forwarding 'host_mod' to server 'https://ipaserver.onitroad.com/ipa/xml'
SSSD enabled
Configured /etc/openldap/ldap.conf
NTP enabled
Configured /etc/ssh/ssh_config
Configured /etc/ssh/sshd_config
Client configuration complete.
我使用 --force-ntpd 选项强制使用 ntpd ,因为 myclient 正在使用 chronyd 服务并且它与 ntpd 冲突。
要让系统在首次登录时创建用户的主目录,请使用以下命令。
[root@ipaclient /]# authconfig --update --enablemkhomedir
ipaclient.onitroad.com 已成功配置为 FreeIPA 客户端。
使用中央用户登录 ipaclient.onitroad.com。
我使用在配置 FreeIPA 服务器期间创建的用户 jackli 登录。
root@ipaclient /]# su - jackli Creating home directory for jackli. Last login: Sat Jul 28 12:55:12 PDT 2018 on pts/0 [jackli@ipaclient ~]$ id uid=1692200001(jackli) gid=1692200001(jackli) groups=1692200001(jackli) context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 [jackli@ipaclient ~]$
我使用 id 命令来确认用户的 UID,并且用户 jackli 是中心用户。
我们已成功将 Red Hat Enterprise Linux (RHEL) 7 机器配置为 FreeIPA 客户端。
在这里,我们使用了 ipa-client 包以方便配置。
但是,如果我们不想使用 ipa-client,则必须自己为 FreeIPA 的每个组件配置客户端设置。
日期:2020-09-17 00:12:27 来源:oir作者:oir