FreeIPA on redhat7.8最佳实践

最佳实践 2 3415 江有期 收藏


功能:freeIPA 这套系统可以实现很多功能,比如Linux 下权限细分管理、客户端服务器管理,还集成了DNS 与邮件系统的解析功能,完全一套成熟的Linux 环境下可替代AD 系统。通过freeIPA 提供的ldap 协议,可以很好的替代芯片设计环境中NIS 账户管理系统,可以集成各种分布式管理系统如LSF、Openlava, Jira/Confluence 缺陷跟踪及内容分发应用,版本管理DesignSync/SOS/gitlab/svn 等各种应用系统。


准备:准备一台redhat7.8 的虚拟机做freeIPA server

    

1、准备配置虚拟机的配置,设置/etc/hostname 与/etc/hosts,

ipserver.myapeng.com 写在 ipserv 前面;


1.png


2、安装需要的freeIPA 组件:

yum install ipa-server ipa-server-trust-ad ipa-server-dns bind bind-dyndb-ldap samba-winbind-clients cifs-utils -y

    

3、编辑 

vi /etc/named.conf

将下面两项设置no,然后重启named-pkcs11 服务;

dnssec-enable no;
dnssec-validation no;

执行

systemctl restart named-pkcs11

4、配置 freeIPA 服务,命令如下,Demo987 是freeIPA 的管理员密码,

https://ipaserv.myapeng.com 的web 账户是admin

ipa-server-install -a Demo987 -p Demo987 --domain=myapeng.com --realm=MYAPENG.COM --mkhomedir --setup-dns --no-forwarders -U

执行上述命令后,成功最后弹出如下信息:


2.jpg


3.jpg


5、查看freeIPA 域内用户信息:


# kinit admin
# getent passwd admin
# ipa user-find --all 查看所有域用户信息


6、手动重启服务:

#ipactl restart


7、安装客户端:

yum install authconfig authconfig-gtk ipa-client ipa-admintools -y

客户端加入freeIPA 域,客户端需要配置DNS 解析与/etc/hosts 文件里面的全域名名称



8、执行命令加入域:

ipa-client-install --domain myapeng.com --realm=MYAPENG.COM --server ipaserv.myapeng.com --no-ntp --mkhomedir


6.jpg


图形方式,执行命令authconfig-gtk


7.jpg


9、在客户端用id 命令查看 freeIPA web 上新建的用户id 与group id 是都能对上:


8.png



freeIPA web 上建的用户信息如下:


9.jpg


10、执行命令,使得用户登录可以自动创建 home 目录:

authconfig --enablemkhomedir --update

10.jpg


11、freeIPA ldap 查询命令信息:


11.png


12、freeIPA 客户端同步账户信息手工同步命令:

sss_cache --users


相关推荐:

网友留言:

  1. andersonlee
    回复
    freeipa虽然可以集成windows系统,但是他没办法自动在windows系统创建账户,必须先手工在win系统创建freeipa的账户,然后让这个账户指向freeipa验证密码,企业中谁会这么用....
    AD最大的问题就是windows的稳定性,比如面对勒索病毒无能为力
    1. 团子精英
      回复
      有没有考虑过另外一种情况? 用windows做密码认证,用freeipa做权限和组管理呢
您需要 登录账户 后才能发表评论

我要评论:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。
验证码