如何在 Ubuntu 22.04 / 20.04 上設定 FreeIPA 用戶端

FreeIPA 是一個強大的開源身分管理系統，提供集中的身份驗證、授權和計費服務。

在我們之前的文章中，我們已經討論了 FreeIPA 伺服器在 RHEL8/Rokcy Linux 8/ AlmaLinux 8 上的安裝步驟。

在FreeIPA 伺服器上建立用戶進行集中認證

登入你的FreeIPA 伺服器並建立一個名為 sysadm 的用戶，執行下列指令:

$ sudo kinit adminPassword for admin@LINUXTECHI.LAN:$$ sudo ipa config-mod --defaultshell=/bin/bash$ sudo ipa user-add sysadm --first=System --last=Admin --passwordPassword:Enter Password again to verify:-------------------Added user "sysadm"-------------------User login: sysadmFirst name: SystemLast name: AdminFull name: System AdminDisplay name: System AdminInitials: SAHome directory: /home/sysadmGECOS: System AdminLogin shell: /bin/bashPrincipal name: sysadm@LINUXTECHI.LANPrincipal alias: sysadm@LINUXTECHI.LANUser password expiration: 20230415073041ZEmail address: sysadm@linuxtechi.lanUID: 464600003GID: 464600003Password: TrueMember of groups: ipausersKerberos keys available: True$

第一個指令是取得Kerberos 憑證，第二個指令將所有使用者的預設登入shell 設定為 /bin/bash，第三個指令用於建立名為 sysadm 的使用者。

在 Ubuntu 22.04 /20.04 上設定 FreeIPA 用戶端的步驟

執行下列步驟來設定 FreeIPA 用戶端以進行集中驗證。

1、在FreeIPA 伺服器上新增Ubuntu 系統的DNS 記錄

登入你的FreeIPA 伺服器並執行以下指令為FreeIPA 用戶端（即Ubuntu 22.04/20.04）新增DNS 記錄：

$ sudo ipa dnsrecord-add linuxtechi.lan app01.linuxtechi.lan --a-rec 192.168.1.106Record name: app01.linuxtechi.lanA record: 192.168.1.106$

在上面的指令中，app01.linuxtechi.lan 是我的Ubuntu 系統，IP 位址為 192.168.1.106。

注意：確保你的 FreeIPA 伺服器和客戶端處於同一時區並從 NTP 伺服器取得時間。

2、安裝FreeIPA 用戶端套件

從你的Ubuntu 系統執行以下命令以安裝 freeipa-client 以及依賴項：

$ sudo apt install freeipa-client oddjob-mkhomedir -y

在安裝 freeipa-client 時，我們將看到以下頁面，選擇確定並回車。

在下一個畫面中，按回車鍵跳過。

3、在主機檔案中新增FreeIPA 伺服器IP 與主機名稱

在 /etc/hosts 檔案中新增下列FreeIPA伺服器條目：

$ echo "192.168.1.102 ipa.linuxtechi.lan ipa" | sudo tee -a /etc/hosts$ echo "192.168.1.106 app01.linuxtechi.lan app01" | sudo tee -a /etc/hosts

更改適合你的設定的IP 位址和主機名稱。

4、使用ipa-client-install 設定FreeIPA 用戶端

現在執行以下 ipa-client-install 指令在你的Ubuntu 系統上設定FreeIPA 用戶端：

$ sudo ipa-client-install --hostname=`hostname -f` --mkhomedir --server=ipa.linuxtechi.lan --domain linuxtechi.lan --realm LINUXTECHI.LAN

更改適合你設定的FreeIPA 伺服器位址、網域名稱和領域。

上述指令的輸出如下所示：

完美，上面的輸出確認 FreeIPA 用戶端安裝成功。

現在允許在使用者首次使用 FreeIPA 伺服器進行身份驗證時自動建立使用者的主目錄。

在檔案 /usr/share/pam-configs/mkhomedir 中新增下列行：

required pam_mkhomedir.so umask=0022 skel=/etc/skel

$ echo "required pam_mkhomedir.so umask=0022 skel=/etc/skel" | sudo tee -a /usr/share/pam-configs/mkhomedir

要使上述變更生效，請執行下列命令：

$ sudo pam-auth-update

選擇確定，然後按下回車鍵。

5、尝试使用 sysadm 用户登录到你的 Ubuntu 系统

尝试使用 sysadm 用户通过 SSH 登录到你的 Ubuntu 系统，

$ ssh sysadm@192.168.1.106

正如你在上面看到的，当我们第一次登录时，它说密码已过期。它将提示我们设置新密码并断开会话。

更新密码后，尝试 SSH 登录 Ubuntu 系统，这次我们应该可以登录了。

$ ssh sysadm@192.168.1.106

输出：

我们已经成功使用集中管理的用户登录到了 Ubuntu 系统，这一点在输出信息中得到了确认，非常令人欣慰。这也说明我们已经成功配置了 FreeIPA 客户端。

如果你想从 ubuntu 系统中卸载 FreeIPA，然后运行以下命令集：

$ sudo ipa-client-install --uninstall$ sudorm -rf /var/lib/sss/db/*$ sudo systemctl restart sssd.service

以上是如何在 Ubuntu 22.04 / 20.04 上設定 FreeIPA 用戶端的詳細內容。更多資訊請關注PHP中文網其他相關文章！