GNU/Linux >> Tutoriales Linux >  >> Fedora

Cómo instalar el cliente FreeIPA en Fedora 35

Estas integraciones permiten que un administrador del sistema configure convenientemente el servidor de forma centralizada, en el servidor FreeIPA. Cuando se ejecuta un comando de administración en la máquina del Cliente, el cliente FreeIPA lo envía al servidor donde se ejecuta.

Contenido relacionado

  • Cómo administrar usuarios y grupos en FreeIPA Server
  • Cómo instalar el cliente FreeIPA en Rocky Linux/Alma Linux/CentOS 8
  • Cómo instalar y configurar FreeIPA en Rocky Linux/Centos 8
  • Cómo instalar y configurar el cliente FreeIPA en Ubuntu 20.04
  • Cómo configurar la replicación FreeIPA en Rocky Linux/Alma Linux/Centos 8

Requisitos

Para seguir, asegúrese de tener lo siguiente

  • Un servidor/estación de trabajo Fedora 35 actualizado
  • Un servidor IPA al que se unirá el cliente
  • Acceso Sudo al servidor o usuario con acceso Sudo
  • Acceso a Internet desde el servidor

Tabla de contenido

  1. Instalación de paquetes FreeIPA
  2. Configuración del cliente
  3. Habilitar la creación de directorios de inicio en el primer inicio de sesión
  4. Adición de cliente de prueba
  5. Uso de la herramienta de administración de línea de comandos ipa de FreeIPA
  6. Habilitar la autenticación sin contraseña mediante clave privada
  7. Eliminación del cliente Rocky Linux/Alma Linux IPA

1. Instalación de paquetes FreeIPA

En Fedora 35 Server/Workstation, el cliente FreeIPA está disponible en los repositorios predeterminados como freeipa-client . Busque usando este comando:

sudo dnf search freeipa-client

Instale los paquetes de FreeIPA Client usando este comando.

sudo dnf -y install freeipa-client

Confirme la adición del cliente usando rpm -qi comando

$ rpm -qi freeipa-client
Name        : freeipa-client
Version     : 4.9.7
Release     : 2.fc35
Architecture: x86_64
Install Date: Sat 13 Nov 2021 08:22:50 AM UTC
Group       : Unspecified
Size        : 242563
License     : GPLv3+
Signature   : RSA/SHA256, Fri 15 Oct 2021 07:13:26 PM UTC, Key ID db4639719867c58f
Source RPM  : freeipa-4.9.7-2.fc35.src.rpm
Build Date  : Fri 15 Oct 2021 06:59:37 PM UTC
Build Host  : buildvm-x86-25.iad2.fedoraproject.org
Packager    : Fedora Project
Vendor      : Fedora Project
URL         : http://www.freeipa.org/
Bug URL     : https://bugz.fedoraproject.org/freeipa
Summary     : IPA authentication for use on clients
Description :
IPA is an integrated solution to provide centrally managed Identity (users,
hosts, services), Authentication (SSO, 2FA), and Authorization
(host access control, SELinux user roles, services). The solution provides
features for further integration with Linux based clients (SUDO, automount)
and integration with Active Directory based infrastructures (Trusts).
If your network uses IPA for authentication, this package should be
installed on every client machine.
This package provides command-line tools for IPA administrators.

2. Configurando cliente

Una vez que se complete la instalación de los paquetes de FreeIPA Client. Agregue el nombre de host y la dirección IP de su servidor IPA a /etc/hosts  archivo si no tiene una resolución de DNS que funcione.

echo "10.2.40.149 ipa.citizix.com" | sudo tee /etc/hosts

Configure el nombre de host de su sistema.

sudo hostnamectl set-hostname fedora-client.citizix.com

Luego podemos configurar el cliente especificando el servidor FreeIPA y el nombre de dominio

sudo ipa-client-install --server=ipa.citizix.com --domain ipa.citizix.com

También puede agregar más argumentos especificando el nombre de host, el servidor, el dominio y el reino del cliente ipa como en este ejemplo.

sudo ipa-client-install --hostname=fedora-client.citizix.com \
 --mkhomedir \
 --server=ipa.citizix.com \
 --domain ipa.citizix.com \
 --realm IPA.CITIZIX.COM

Esta es mi salida. Deberías ver algo similar a esto

$ sudo ipa-client-install --server=ipa.citizix.com --domain ipa.citizix.com
This program will set up IPA client.
Version 4.9.7

Autodiscovery of servers for failover cannot work with this configuration.
If you proceed with the installation, services will be configured to always access the discovered server for all operations and will not fail over to other servers in case of failure.
Proceed with fixed values and no DNS discovery? [no]: yes
Do you want to configure chrony with NTP server or pool address? [no]: no
Client hostname: fedora-client.citizix.com
Realm: IPA.CITIZIX.COM
DNS Domain: ipa.citizix.com
IPA Server: ipa.citizix.com
BaseDN: dc=ipa,dc=citizix,dc=com

Continue to configure the system with these values? [no]: yes
Synchronizing time
No SRV records of NTP servers found and no NTP server or pool address was provided.
Using default chrony configuration.
Attempting to sync time with chronyc.
Time synchronization was successful.
User authorized to enroll computers: admin
Password for [email protected]:
Successfully retrieved CA cert
    Subject:     CN=Certificate Authority,O=IPA.CITIZIX.COM
    Issuer:      CN=Certificate Authority,O=IPA.CITIZIX.COM
    Valid From:  2021-11-09 05:42:01
    Valid Until: 2041-11-09 05:42:01

Enrolled in IPA realm IPA.CITIZIX.COM
Created /etc/ipa/default.conf
Configured sudoers in /etc/authselect/user-nsswitch.conf
Configured /etc/sssd/sssd.conf
Configured /etc/krb5.conf for IPA realm IPA.CITIZIX.COM
Systemwide CA database updated.
Hostname (fedora-client.citizix.com) does not have A/AAAA record.
Failed to update DNS records.
Missing A/AAAA record(s) for host fedora-client.citizix.com: 10.2.40.174.
Incorrect reverse record(s):
10.2.40.174 is pointing to ip-10-2-40-174.us-west-2.compute.internal. instead of fedora-client.citizix.com.
Adding SSH public key from /etc/ssh/ssh_host_rsa_key.pub
Adding SSH public key from /etc/ssh/ssh_host_dsa_key.pub
Adding SSH public key from /etc/ssh/ssh_host_ecdsa_key.pub
Adding SSH public key from /etc/ssh/ssh_host_ed25519_key.pub
Could not update DNS SSHFP records.
SSSD enabled
Configured /etc/openldap/ldap.conf
Configured /etc/ssh/ssh_config
Configured /etc/ssh/sshd_config.d/04-ipa.conf
Configuring ipa.citizix.com as NIS domain.
Client configuration complete.
The ipa-client-install command was successful

3. Habilite la creación de directorios de inicio en el primer inicio de sesión

Si el directorio de inicio del usuario no se crea automáticamente, habilite esta función ejecutando el siguiente comando. Esto creará un directorio de inicio en el inicio de sesión inicial.

$ sudo authselect enable-feature with-mkhomedir
Make sure that SSSD service is configured and enabled. See SSSD documentation for more information.

- with-mkhomedir is selected, make sure pam_oddjob_mkhomedir module
  is present and oddjobd service is enabled and active
  - systemctl enable --now oddjobd.service

$ sudo systemctl enable --now oddjobd
Created symlink /etc/systemd/system/multi-user.target.wants/oddjobd.service → /usr/lib/systemd/system/oddjobd.service.

4. Adición de cliente de prueba

Para probar que el cliente se agregó correctamente, iniciemos sesión con un usuario en freeipa. Si es la primera vez que inicia sesión, debería ver un aviso de cambio de contraseña; de lo contrario, verá esto:

$ ssh [email protected]
([email protected]) Password:
Last login: Sat Nov 13 08:29:12 2021 from 10.2.40.174

[[email protected] ~]$
5. Uso de la herramienta de gestión de línea de comandos ipa de FreeIPA

Puede administrar el servidor FreeIPA desde la máquina cliente utilizando la herramienta de línea de comandos ipa.

Primero, obtenga un ticket de Kerberos.

$ kinit admin
Password for [email protected]:

Verifique la información de caducidad del boleto usando klist. 

$ klist
Ticket cache: KCM:1000
Default principal: [email protected]

Valid starting       Expires              Service principal
11/12/2021 21:27:59  11/13/2021 21:27:47  krbtgt/[email protected]

Pruebe agregando una cuenta de usuario y enumerando las cuentas presentes:

$ sudo ipa user-add kip \
     --first=Kipkoech \
     --last=Towett \
     [email protected] \
     --password

Password:
Enter Password again to verify:
----------------
Added user "kip"
----------------
  User login: kip
  First name: Kipkoech
  Last name: Towett
  Full name: Kipkoech Towett
  Display name: Kipkoech Towett
  Initials: KT
  Home directory: /home/kip
  GECOS: Kipkoech Towett
  Login shell: /bin/bash
  Principal name: [email protected]
  Principal alias: [email protected]
  User password expiration: 20211112183007Z
  Email address: [email protected]
  UID: 1063800003
  GID: 1063800003
  Password: True
  Member of groups: ipausers
  Kerberos keys available: True

Verificar.

$ ipa user-find kip
--------------
1 user matched
--------------
  User login: kip
  First name: Kipkoech
  Last name: Towett
  Home directory: /home/kip
  Login shell: /bin/bash
  Principal name: [email protected]
  Principal alias: [email protected]
  Email address: [email protected]
  UID: 1063800003
  GID: 1063800003
  Account disabled: False
----------------------------
Number of entries returned 1
----------------------------

6. Habilitar la autenticación sin contraseña mediante clave privada

Si desea autenticarse en un servidor sin contraseña, copie su clave pública en el servidor FreeIPA. En el perfil de usuario, haz clic en Añadir  botón debajo de "Claves públicas SSH “, pega tu clave pública en el cuadro y guarda.

7. Eliminación del cliente IPA de Fedora 35

La eliminación del cliente FreeIPA en Rocky Linux/Alma Linux 8 se puede realizar ejecutando el comando:

$ sudo ipa-client-install  --uninstall

Conclusión

En esta guía, logramos instalar y configurar el cliente FreeIPA en un Fedora 35.


Fedora

  1. Cómo instalar el cliente FreeIPA en CentOS 7

  2. Cómo instalar Node.js en Fedora 35 / Fedora 34

  3. Cómo instalar Java 17 en Fedora 35

  4. Cómo instalar Notepad++ en Fedora 35

  5. Cómo instalar Wireshark en Fedora 35

Cómo instalar PowerShell en Fedora

Cómo instalar Skype en Fedora 34 / 35

Cómo instalar Discord en Fedora 34 / 35

Cómo instalar SQLite en Fedora 35

Cómo instalar LibreOffice en Fedora 35

Cómo instalar Go en Fedora 35