功能:freeIPA 这套系统可以实现很多功能,比如Linux 下权限细分管理、客户端服务器管理,还集成了DNS 与邮件系统的解析功能,完全一套成熟的Linux 环境下可替代AD 系统。通过freeIPA 提供的ldap 协议,可以很好的替代芯片设计环境中NIS 账户管理系统,可以集成各种分布式管理系统如LSF、Openlava, Jira/Confluence 缺陷跟踪及内容分发应用,版本管理DesignSync/SOS/gitlab/svn 等各种应用系统。
准备:准备一台redhat7.8 的虚拟机做freeIPA server
1、准备配置虚拟机的配置,设置/etc/hostname 与/etc/hosts,
ipserver.myapeng.com 写在 ipserv 前面;
2、安装需要的freeIPA 组件:
yum install ipa-server ipa-server-trust-ad ipa-server-dns bind bind-dyndb-ldap samba-winbind-clients cifs-utils -y
3、编辑
vi /etc/named.conf
将下面两项设置no,然后重启named-pkcs11 服务;
dnssec-enable no; dnssec-validation no;
执行
systemctl restart named-pkcs11
4、配置 freeIPA 服务,命令如下,Demo987 是freeIPA 的管理员密码,
https://ipaserv.myapeng.com 的web 账户是admin
ipa-server-install -a Demo987 -p Demo987 --domain=myapeng.com --realm=MYAPENG.COM --mkhomedir --setup-dns --no-forwarders -U
执行上述命令后,成功最后弹出如下信息:
5、查看freeIPA 域内用户信息:
# kinit admin # getent passwd admin # ipa user-find --all 查看所有域用户信息
6、手动重启服务:
#ipactl restart
7、安装客户端:
yum install authconfig authconfig-gtk ipa-client ipa-admintools -y
客户端加入freeIPA 域,客户端需要配置DNS 解析与/etc/hosts 文件里面的全域名名称
8、执行命令加入域:
ipa-client-install --domain myapeng.com --realm=MYAPENG.COM --server ipaserv.myapeng.com --no-ntp --mkhomedir
图形方式,执行命令authconfig-gtk
9、在客户端用id 命令查看 freeIPA web 上新建的用户id 与group id 是都能对上:
freeIPA web 上建的用户信息如下:
10、执行命令,使得用户登录可以自动创建 home 目录:
authconfig --enablemkhomedir --update
11、freeIPA ldap 查询命令信息:
12、freeIPA 客户端同步账户信息手工同步命令:
sss_cache --users
网友留言:
AD最大的问题就是windows的稳定性,比如面对勒索病毒无能为力