Главная » Linux

Централизованное управление доступом linux

Содержание
  1. Автоматизируем FreeIPA: как устанавливать клиентов с помощью Ansible и управлять DNS записями через Terraform
  2. Система централизованного управления авторизацией пользователей на FreeIPA в Docker
  3. Настройка сервера
  4. Настройка клиентов
  5. Выводы
  6. Linuxoid
  7. OpenSource forever
  8. Централизованное управление сетью с FreeIPA
  9. Установка сервера FreeIPA
  10. Управление FreeIPA из консоли
  11. Веб-интерфейс FreeIPA
  12. Подключение клиента

Автоматизируем FreeIPA: как устанавливать клиентов с помощью Ansible и управлять DNS записями через Terraform

У нас в Altenar собралась достаточно большая и продвинутая команда разработчиков. За эти годы внутри компании накоплен разнообразный опыт в создании и развитии высоконагруженных систем. Поэтому время от времени коллегам хочется поделиться с миром своими знаниями. Регистрироваться на Хабре они пока не готовы, зато совсем не против материализовываться на моей странице. Надеюсь острой аллергии это у вас не вызывает. Если будут вопросы к материалу, смело оставляйте их в комментариях, обещаю молниеносно перенаправлять авторам статьи. Добро пожаловать за кат.

Привет, меня зовут Денис, и я около двух лет работаю DevOps инженером в компании Altenar. Наша инфраструктура располагается как в Google Cloud, так и в собственном облаке на базе VMWare, в котором находится более 200 серверов и виртуальных машин.

Когда количество Linux машин в компании достаточно велико, то рано или поздно возникает необходимость в централизованном управлении доступом к серверам и если в случае с Windows использование AD является индустриальным стандартом, то, когда дело доходит до Linux приходится использовать такие инструменты как FreeIPA.

FreeIPA (Free Identity, Policy and Audit) ─ это open-source решение для Linux (аналогичное MS Active Directory), которое обеспечивает централизованное управление учетными записями и централизованную аутентификацию.

Необходимо отметить, что у RedHat есть решение IdM, которое является частью RHEL. Они технически идентичны с FreeIPA и, можно сказать, что FreeIPA является upstream версией для IdM на которой обкатываются новые фичи (как Fedora для RHEL).

FreeIPA использует клиент-серверную модель. Клиентом может быть любая Linux машина, которая настроена для взаимодействия с FreeIPA (IdM) контроллером домена. Клиент осуществляет взаимодействие с помощью Kerberos, NTP, DNS сервисов и сертификатов.

Как настроить решение с репликацией из двух FreeIPA серверов с DNS можно почитать в этой статье, а для установки FreeIPA клиентов нам понадобится:
● Функционирующий FreeIPA контроллер с настроенным DNS сервером
● Один CentOS 7 сервер по крайней мере с 1GB памяти.
● Ansible version: 2.8+
● Terraform version: 0.13+

Конечно, можно устанавливать FreeIPA клиентов вручную. Это можно сделать в 3 шага:
1) Установить пакет yum install ipa-client
2) Запустить скрипт установки ipa-client-install
3) Пройти по шагам, ответив на вопросы установщика.

Но я уверен, что все прекрасно понимают плюсы автоматизации, поэтому мы пойдем немного другим путём. В Altenar мы используем два основных инструмента автоматизации ─ Ansible и Terraform. В данному случае мы решили использовать Ansible и взяли роль из официального репозитория freeipa.org с минимальным набором переменных в дополнение к перечисленным в /ipaclient/defaults/main.yml.

Playbook для запуска роли выглядит так:

Изначально мы также использовали ansible для создания DNS записей.

При этом возникала проблема: чтобы создать dns запись необходимо было сначала явно указать IP адрес «<>» в inventory файле, что было не очень удобно.

И так как мы используем в том числе Terraform в нашем частном облаке и стараемся придерживаться подхода IaC был найден terraform-provider-freeipa, который позволил нам добавлять DNS записи при создании виртуальных машин.

В результате мы получаем готовую DNS запись при создании виртуальной машины.

И ничто нам не мешает продолжить установку FreeIPA клиента с помощью Ansible роли.

Так выглядит процесс создания DNS записей и установки FreeIPA клиентов у нас в Altenar. Надеюсь, что наш опыт был вам полезен, ну а мы в свою очередь продолжим делиться лайфхаками.

Источник

Система централизованного управления авторизацией пользователей на FreeIPA в Docker

На волне популярности Docker на Хабре, после участия в некоторых дискуссиях в комментариях относительно Docker, и в связи с недавней необходимостью настроить централизованную авторизацию для кластера Linux машин, я решил написать небольшую заметку. Здесь будет показан яркий, на мой взгляд, пример применения Docker’a для небольшой частной задачи.

Вот так, кстати, выглядит FreeIPA WebUI (официальное демо) (кликабельно):

Какие задачи я хотел решить при помощи FreeIPA:

  1. Иметь возможность создавать/изменять/удалять акаунты пользователей централизовано, а не на каждом отдельном сервере
  2. Централизованные плавила для sudo
  3. В последствии мы подключим к этой системе ещё и VPN авторизацию, а потом может и другие внутриофисные сервисы

Да, скорее всего FreeIPA в нашем случае это выстрел пушкой по воробьям, но с другой стороны — альтернатив что-то не видно. Я рассматривал такие варианты: NIS (по-моему он уже давно должен отправиться на отдых), OpenLDAP +… +… (не очень дружелюбно, да и FreeIPA в итоге под собой имеет LDAP, только нам не приходится с ним иметь дело напрямую), тут перечень заканчивается, я не нашёл ничего больше.

Настройка сервера

Перечень используемых технологий:

  • FreeIPA — открытый проект компании RedHat, который объединяет в себе множество других открытых проектов: 389 Directory Server, MIT Kerberos, NTP, DNS (bind), Dogtag certificate system, SSSD и другие. При этом у данного решения есть Web UI, CLI, XMLRPC, JSONRPC API и Python SDK.
  • Dnsmasq — легковесный DNS сервер (позже я объясню зачем мне он нужен был в дополнение к bind, который используется в FreeIPA).
  • Docker — open-source платформа, автоматизирующая развертывание приложений в легковесные, переносимые, самодостаточные контейнеры, которые могут без изменений переноситься между серверами. © Используем Docker и не волнуемся о vendor-lock

FreeIPA, в следствие того, что это продукт RedHat, естественно умеет хорошо разворачиваться на CentOS и Fedora и практически никак не разворачивается на других дистрибутивах. (прим. Я не особо задавался целью, поэтому может и есть где-то инструкции, но пакетов в Debian/Ubuntu для FreeIPA сервера нет, зато есть клиентский пакет freeipa-client , но об этом потом.)

Читайте также:  Ноутбуки с линуксом как проверить

Меня этот факт ни разу не расстроил, а, наоборот, воодушевил! Это же идеальная задача для Docker, когда на серверах Debian/Ubuntu/Gentoo/etc. То есть я мог взять базовый образ Fedora, поставить там нужные пакеты, собрать всё в кучу и запустить, НО ещё более приятной новостью для меня стал официальный Docker образ freeipa-server (есть у них и клиент, но меня интересовал вариант с клиентом на Ubuntu, поэтому я запускал ubuntu образ в Docker и таким образом моделировал и быстро начинал с начала для отладки процесса «с нуля»).

Вообще, запуск freeipa-server не вызвал никаких проблем, всё в соответствии с документацией к образу Docker’a:

    Создаём директорию, которая будет монтироваться в образ для конфигов FreeIPA, которые нужно оставлять после перезапуска (в документации предлагается использовать /var/lib/ipa-data/ , но я не люблю засорять систему, поэтому /opt/ ):

Добавим файл с опциями, которые будут использоваться при инсталяции freeipa-server:

Всё, запускаем (в доке не хватает проброса портов, хотя это и очевидно, что нужно сделать; стоит также отметить, что в доке написано, что нужно подключать раздел с постфиксом :Z:rw , но если у вас нет SELinux, вам эта опция не нужна (спасибо grossws)):

  • После недолгой установки вам любезно предоставят bash — на этом установка и настройка FreeIPA Server по большому счёту завершена. Можете добавить freeipa.example.test себе в /etc/hosts, пройти на https://freeipa.example.test/, залогиниться под admin и создать пользователя.

    • FreeIPA у себя в образе поднял целый зоопарк служб, в том числе и bind (DNS), который настроил по своему усмотрению (магия, которую практически невозможно повторить на других DNS). Для клиентов FreeIPA ожидается, что они будут иметь доступ к этому DNS, который ещё умеет как-то хитро failover обрабатывать, только вот в случае как здесь — всё в одном образе Docker я не очень вижу пользу с такого failover. Однако, я не стал идти на перекор и учёл пожелания разработчиков FreeIPA (кстати, это особенность Kerberos, всё-таки FreeIPA — просто объединяет множество пакетов).

    Так вот, к чему я про DNS? Мне нужен был DNS внутри кластера, но мне категорически не хотелось влезать в bind внутри FreeIPA контейнера. Поэтому я решил воспользоваться проверенным решением — Dnsmasq. На Docker Hub есть минималистичный образ Dnsmasq, основанный на Alpine Linux — 6МБ.

    Вот как я его подготовил:

      Создал директорию для конфигов:

    Добавил туда конфиг dnsmasq:

    Запускаем (DNS работает на 53/tcp и 53/udp портах, так что пробрасываем их, папку с конфигами):

  • Проверяем, что работает:

    • Итого, у нас есть FreeIPA Server в одном контейнере и Dnsmasq в другом. Кстати, Dnsmasq, как можно было заметить, никак с bind DNS сервером FreeIPA ещё не взаимодействует.

    Дальше я связал эти два сервиса в один docker-compose.yml :

    Можно заметить небольшую магию с дополнительной опцией к команде dnsmasq, эта опция будет перенаправлять запросы к *.example.test на bind DNS, уставновленный в freeipa контейнере.

    Удобство Docker Compose в данном конкретном случае в том, что его конфиг всё-таки удобнее читать, чем bash-скрипт с docker run . Да и лучше сразу делать хорошо. Сохраняем docker-compose.yml и запускаем:

    C сервером, наконец, закончили.

    Настройка клиентов

    Тут у меня есть решение в 3 команды 🙂

      Нужно исправить /etc/hosts таким образом, чтобы первым в списке было полностью определённое имя домена (FQDN):

    Настроить DNS (через /etc/network/interfaces или /etc/resolvconf/resolv.conf.d/head ) так, чтобы в /etc/resolv.conf появились следующие строки:

    И теперь изменив пароль admin’a к FreeIPA в следующей команде, можете её запустить:

    Здесь добавится PAM-модуль для автоматического создания домашних директорий, установится freeipa-client, запустится установка ipa-client, добавится сервис sudo в sssd.conf и перегрузятся sssd и ssh.

    Вот и всё, теперь на этом хосте можно делать su/sudo/ssh, где пользователя при самом первом входе заставят сменить пароль, а при первом входе на новом хосте для пользователя будет автоматически создана домашняя директория из /etc/skel .

    Выводы

    Docker может упростить разворачивание сложных проектов в любой инфраструктуре. У Docker есть масса применений и это только одно из них.

    В дальнейшем я, возможно, сподвигнусь написать о другом проекте, который интенсивно использует ограничения ресурсов, интегрированные в Docker (CPU, RAM).

    Источник

    Linuxoid

    OpenSource forever

    Централизованное управление сетью с FreeIPA

    Централизованное управление учетными записями пользователей и ресурсами это одно из требований организации любого размера. Проект FreeIPA призван заменить Active Directory.

    Известно, что наличие нескольких точек управления порождает ряд проблем, главная из которых несогласованность. Наличие дубликатов записей означает, что вероятность ошибки в администрировании возрастает, да и сам процесс усложняется на порядок. Все изменения необходимо отслеживать в нескольких местах. Отсутствие единого входа делает работу пользователей с несколькими сервисами неудобной. Именно хорошая управляемость приводит к тому, что в организациях крупного размера предпочитают использовать Windows с Active Directory. Самостоятельно настроить альтернативное решение при помощи OpenSource компонентов работающих по протоколам LDAP и Kerberos, под силу далеко не каждому системному администратору. Да и то после внедрения остается ряд вопросов удобства управления.
    Разработчики Fedora/RedHat предлагают свое решение в виде проекта FreeIPA (Free Identity, Policy and Audit, http://freeipa.org/) позволяющий создать централизованную систему управления компьютерной сетью, способной заменить Active Directory для аутентификации пользователей, установок политик доступа и аудита. Собственно задачи полностью показывает девиз проекта – Identity, Policy, Audit (идентичность, политика, аудит). Как и водится разработчики не изобретают велосипед. Базой для FreeIPA является несколько открытых протоколов реализованных при помощи OpenSource решений — Fedora, 389 Directory Server (бывший FDS, Fedora Directory Server), MIT Kerberos, NTP и DNS. По сути 389 DS является частью проекта FreeIPA. Впервые код FreeIPA был включен в состав Fedora 9.

    Читайте также:  Характеристики для линукс минт

    Сообщество разработчиков финансово поддерживается RedHat, которая в конце июня 2008 представила свой продукт на его основе Red Hat IPA. Главный плюс, что все решения из RedHat хорошо документированы, причем сразу отражаются все изменения. Учитывая, что по сути Red Hat IPA это переименованный FreeIPA, мы имеем ответы практически на все вопросы. Хотя документацию FreeIPA и Fedora не стоит сбрасывать со счетов.
    После анонса Red Hat IPA проект FreeIPA представил еще две версии 1.2 и 1.2.1 соответственно в (ноябре и декабре 2008), затем развитие FreeIPA впало в спячку. Следующий стабильный релиз 1.2.2, появился уже в сентябре 2009 года, который без изменений благополучно дожил до наших дней и представлен в частности в основном репозитарии Fedora 14:

    До релиза 1.2 (ноябрь 2008) в реализации было много проблем. Например, отсутствовала нормальная синхронизация с Active Directory. Сегодня поддерживается полная репликация учетных записей пользователей и групп Active Directory. Главное неудобство связанное с версией 1.2 .* это ручное подключение клиентов при помощи утилит ipa-addservice/ipa-getkeytab (сервер) и ksetup (клиент).
    В октябре 2009 стартовали работы над новой веткой 2.0, его финальная версия была представлена в конце марта 2011. Доступна в репозитарии rawhide и Fedora 15.
    Лицензия изменена на GPLv3.
    В новом релизе добавлены ряд компонентов и возможностей:

    • аутентификация Kerberos для пользователей и узлов;
    • управление объектами – учетные записи пользователей, групп, компьютеров и сервисов;
    • агент управления идентификацией и аутентификациейSSSD (System Security Services Daemon) устанавливаемый на клиентской системе;
    • централизованное управление и хранение ролей в LDAP (Host Based Access Control);
    • управление доступом к приложениями и PAM,
    • Dogtag Certificate Server – служба управление сертификатами;
    • certmonger – приложение, упрощающее управление сертификатами в PKI отслеживая сроки годности и предупреждая и пытаясь получить новый сертификат.
    • опциональная интеграция с DNS сервером на базе BIND (LDAP BIND плагин с динамическим обновлением через GSS-TSIG (Generic Security Service Algorithm for Secret Key Transaction)).
    • политики паролей, настройками Kerberos, управление правилами SUDO.

    Решение включат в себя улучшенный веб-интерфейс (написан на Java) и утилиты управления командной строки. Серверная и клиентская часть IPA поддерживает подключение модулей, в дальнейшем разработчики сторонних решений могут запросто интегрировать IPA в свой продукт. Для хранения некоторых установок агентом используется локальный кэш (файлы LDB и XML). Его задача повышение быстродействия, теперь не нужно каждый раз обращаться к серверу, плюс получение настроек, когда сервер недоступен. В настоящее время политики используются, в том числе и для хранения параметров доступа к локальным приложениям и некоторых настроек рабочего стола.
    Схема взаимодействия компонентов FreeIPA
    Управления компьютерами, группами компьютеров (в том числе и виртуальными), полномочия подтверждаются при помощи Kerberos keytab или сертификата.
    Клиент SSSD поддерживает установку не только на RedHat/Fedora и клонах, но и других ОС и платформах – AIX, HP-UX, Solaris, openSUSE.
    К слову Red Hat IPA/Free IPA используется для аутентификации и авторизации в решении для виртуализации на основе KVM – oVirt .
    К сожалению, в версию 2.0 не вошли функции управления политиками и аудита и контроля. Так ранее планировалось централизованное управление SELinux. В дальнейшем ждем также добавление поддержки Samba, FreeRADIUS, централизованное управление ключами SSH и сертификатами пользователей, OTP и многое другое.

    Установка сервера FreeIPA

    Функционально сеть построенная с применением FreeIPA может состоять из трех типов систем: одного или нескольких серверов, клиентских машин и компьютера администратора. Последний по сути является клиентской системой на котором дополнительно установлены консольные утилиты для управления FreeIPA. Хотя в его отсутствие вполне можно обойтись веб-интерфейсом.
    Минимальные системные требования для сервера FreeIPA соответствуют предъявляемым к дистрибутиву. В качестве дистрибутива будем использовать Fedora 14, но это может быть RedHat или CentOS [5]. Инсталляцию рекомендуется производить на “чистую” систему не исполняющую никаких других функций.
    Перед началом установки необходимо настроить сеть, установив на сервере FreeIPA статический адрес. Имя должно разрешаться через службу DNS или файл /etc/hosts, иначе процесс настройки будет прерван.
    В репозитарии Fedora 14 доступна версия 1.2.2, названия пакетов которой отличаются. Чтобы установить 2.x следует подключить репозитарий разработчиков FreeIPA, для чего копируем файл http://freeipa.org/downloads/freeipa-devel.repo в /etc/yum.repos.d.
    Теперь команда:

    Покажет наличие ряда новых пакетов (для версии 1.2.х следует устанавливать ipa-*).

    Здесь пока находится предрелиз, в котором исправлено ряд мелких ошибок. В рабочей системе очевидно лучше самостоятельно собрать пакеты последней версии:

    Но мы будем использовать репозитарий. Версия 2.0 требует 389 Directory Server > 1.2.8 (на момент написания этих строк на официальном сайте 1.2.8 RC2). В репозитарии Updates Fedora 14 пока версия 1.2.7, поэтому подключаем updates-testing (epel-testing для RHEL) и устанавливаем пакет 389-ds.

    Устанавливаем сервер FreeIPA:

    Или если все компоненты:

    Сервер FreeIPA может управлять настройками BIND, желательно (но необязательно) чтобы BIND также работал на одном компьютере. Если такое размещение планируется то используем команду:

    В процессе установки будет скачано почти 100 Мб зависимостей, в том числе и веб-сервер Apache, JDK и Tomcat.
    Далее необходимо сконфигурировать сервер, для чего вводим:

    Скрипт запущенный при помощи этой команды произведет настройку ntpd, 389-ds, Kerberos KDC и Apache, плагин WinSync для синхронизации с Active Directory, установит политики SELinux (из пакета freeipa-server-selinux). По запросу указываем имя узла и домена, область Kerberos (Kerberos realm), пароли администраторов Directory Manager (используется редко для низкоуровневых задач по настройке LDAP) и учетной записи “admin” IPA сервера. После будут настроены и перезапущены все серверы, администратор получит список портов, которые необходимо открыть в брандмауэре:

    Читайте также:  Не работает графическая оболочка linux

    Работа установочного скрипта
    Кроме этого в каталоге /tmp создается файл настроек для BIND. В файл /root/cacert.p12 и /etc/ipa/ca.crt будет сохранен сгенерированный сертификат (для доступа понадобится ввести пароль администратора Directory Manager). В каталоге /etc/ipa также находится конфигурационный файл сервера /etc/ipa/default.conf (варианты /etc/ipa/server.conf или /etc/ipa/cli.conf.), но редактировать его вручную вряд ли понадобится.
    К слову ipa-server-install поддерживает дополнительные параметры, список которых можно получить при помощи ключа —help.
    Так, например, для настройки интеграции с DNS следует использовать —setup-dns, или скрипт ipa-dns-install. Чтобы создавался самоподписанный сертификат, добавляем в вызов –selfsign.
    На клиентские компьютеры устанавливается пакет freeipa-client, для настройки в комплекте идет скрипт ipa-client-install, который изменит настройки PAM (/etc/pam.conf) и Kerberos (/etc/krb5.conf). Другие утилиты — ipa-replica-install, ipa-replica-prepare, ipa-replica-manage служат для настройки и репликации данных с мастер сервера FreeIPA.
    Следующим шагом следует получить сертификат администратора Kerberos при помощи команды:

    В процессе будет запрошен пароль администратора.
    Важно: команду необходимо вводить под той учетной записью, которая будет использована для управления FreeIPA.
    Команда klist покажет информацию по полученному билету.
    Для более удобного контроля всех сервисов необходимых для работы FreeIPA разработчики предлагают утилиту ipactl:

    Управление FreeIPA из консоли

    Для управления настройками FreeIPA предлагает два способа – утилита командной строки ipa и веб-интерфейса. Оба отлично дополняют друг друга. Все параметры команды ipa можно получить в справочной странице “man ipa”, введя ipa без параметров, а более подробную информацию “ipa help команда”. Поддерживается два режима работы: командный, когда все параметры вводятся за раз и интерактивный, когда по запросу администратор указывает недостающие параметры. Кроме того доступна Python интерактивная консоль:

    Начать изучение стоит из команды:

    Которая выведет значения всех переменных FreeIPA сервера.
    Добавим новую учетную запись в базу IPA:

    По сути необходимо ввести лишь имя пользователя, скрипт сам предложит логин, который можно принять просто нажав Enter. Все остальное будет сделано автоматически. Чтобы задать пароль следует добавить ключ —password или выполнить команду:

    Теперь пользователь может получить сертификат введя “kinit vpupkin” и работать через IPA. При первом подключении последует запрос на изменение пароля.
    Все это можно ввести одной строкой:

    Поддерживаются и другие поля, полный их список можно получить при помощи:

    Добавление учетной записи при помощи ipa
    Чтобы просмотреть информацию об учетной записи, используем ключ user-show:

    Дополнительный параметр —all выведет все атрибуты. Модифицировать их можно при помощи ipa user-mod.
    Удалить, отключить и включить учетную запись можно при помощи ключей — ipa user-del, user-disable и user-enable. Реализован и поиск:

    Если в сети уже установлен 389-ds сервер, учетные записи легко перенести оттуда:

    По умолчанию все учетные записи пользователей подключаются к группе ipausers (можно изменить в настройках сервера). Для более гибкого определения прав, следует их распределять по группам. Группы создаются аналогично:

    И добавляем учетные записи:

    После установки в списке известных узлов будет только сервер, остальные системы добавляются при помощи команд — host-add, hostgroup-add, hostgroup-add-member.
    Целая группа параметров позволяет управлять сертификатами:

    Аналогичные команды доступны для управления SUDO

    И других настроек сервера.

    Веб-интерфейс FreeIPA

    Официально работа веб-интерфейса протестирована на Internet Explorer, Firefox, Chrome и Safari. В процессе подключения принимаем сертификат веб-сервера, после скорее всего получаем сообщение о том, что сертификат Kerberos не действителен. Чтобы исправить, следует его установить (он располагается http://ipa.example.com/ipa/config/ca.crt). Для этого переходим по ссылке в окне сообщения. Указываем, для каких действий использовать сертификат (активируем два — веб и идентификация приложений), далее нажав кнопку (Configure Firefox) и затем Allow, конфигурируем браузер для поддержки SSO. Теперь если ранее выполнена команда “kinit admin” мы автоматически регистрируемся в консоли.
    В версии 2.0 разработчиками сделано все, чтобы упростить процесс локализации (используется gettext и UTF8).
    Настройка HBAC
    В каталоге install/po доступен файл ru.po, в котором переведены лишь некоторые сообщения. Язык интерфейса выбирается автоматически по настройкам веб-браузера.
    Консоль содержит три вкладки:

    • Identity – настройка учетных записей пользователей и групп, узлов и групп компьютеров, сетевых групп и сервисов (по умолчанию в списке http и ldap);
    • Policy – настройка политик HBAC (собственно HBAC, сервисов и групп), SUDO, политики паролей и билетов Kerberos.
    • IPA Server – управление RBAC (настройка ролей, привилегий, доступом), доступ к сервисам, делегирование прав, и настройка некоторых параметров FreeIPA.

    Параметры FreeIPA сервера
    В принципе интерфейс повторяет все настройки при полощи ipa о которых говорилось выше, но в более наглядном виде. И главное не требует особой подготовки от пользователя. Познакомиться с его возможностями можно просмотрев видео.

    Подключение клиента

    В качестве клиентских систем поддерживаются не только Fedora/RedHat, но и Windows для которых можно установить пакет MIT Kerberos for Windows (http://web.mit.edu/kerberos/). В Fedora процесс очень прост. Настраиваем разрешение имен прописав данные DNS сервера в /etc/resolv.conf. Затем устанавливаем пакет ipa-client и если необходимы инструменты управления то и ipa-admintools.

    После установки следует ввести команды ipa-client-install и ipa-join. По умолчанию домашний каталоги пользователей располагаются в /home, но FreeIPA не создает их при подключении клиента. Для удобства лучше использовать NFS. Если же необходима такая функция, просто добавьте ключ –mkhomedir при запуске ipa-client-install.
    После подключения к серверу можно проверить корректность данных, введя:

    Кроме этого утилита system-config-autentification из состава Fedora, содержит вкладку позволяющую активировать подключение через FreeIPA.
    Настройка аутентификации Fedora при помощи system-config-autentification

    Вот собственно и все основные настройки FreeIPA. Знакомство показывает, что это очень простое в освоении решении управляя которым забываешь, что в его основе несколько проектов, каждый из которых приходилось изучать отдельно.

    Источник

    Оцените статью
    © 2024 Советы по настройке компьютера