FreeIPAにユーザアカウントを作ります
既にipaサービスが稼働中なら web ペースでのユーザ登録が可能ですが、微妙...コマンドラインの方がいいかな..
*初回にSSO認証を求められますが、キャンセルで行けます. その後に下記が表示されます
入力する値は設定時の「The IPA server requires an administrative user, named 'admin'.」です.
アカウント項目に「admin」、パスワード欄は設定時の値を入力します
2022y04m25d_200030272.png

認証が通ると下記画面になります. 現在のアカウントリストで「add」ボタンを押下してアカウントを追加できます。
2022y04m25d_200524712.png

また上部メニューの「Groups」リンクを押下すると現在用意されているグループが列挙され、ここも「add」ボタンを押下してグループの追加が可能となります
2022y04m25d_200728419.png

だが、、やっぱりコマンドラインの方が楽かな...

留意 「/etc/httpd/conf.d/ipa-rewrite.conf」によって強制的にipaシステムのページに移されているので、もしこのwebサービスで他のサービスを提供する際は、この「ipa-rewrite.conf」の調整が必要かも.

コマンドラインでグループ・アカウントの追加

コマンド操作を行いにはまずkerberosチケットを持つことが必要

[root@freeipa ~]# kinit admin@SYBYL.LOCAL
Password for admin@SYBYL.LOCAL:
 
(確認)
[root@freeipa ~]# klist
Ticket cache: KCM:0
Default principal: admin@SYBYL.LOCAL
 
Valid starting       Expires              Service principal
01/05/2023 02:07:46  01/06/2023 02:01:04  HTTP/freeipa.sybyl.local@SYBYL.LOCAL
01/05/2023 02:07:45  01/06/2023 02:01:04  krbtgt/SYBYL.LOCAL@SYBYL.LOCAL
[root@freeipa ~]#

その上で、まずはグループ追加. gidが2001の「em」グループを作成

[root@freeipa ~]# ipa group-add --gid=2001 --desc='em users' em
----------------
Added group "em"
----------------
  Group name: em
  Description: em users
  GID: 2001
 
(確認)
[root@freeipa ~]# getent group em
em:*:2001:
[root@freeipa ~]#

修正も至って簡単

[root@freeipa ~]# ipa group-mod em --desc='cryo users'
-------------------
Modified group "em"
-------------------
  Group name: em
  Description: cryo users
  GID: 2001
[root@freeipa ~]#

追加コマンドの詳細は「ipa group-add --help」修正コマンドの詳細は「ipa group-mod --help」で得られる.

次にユーザ追加. これも至って簡単で、まずはインターラクティヴで作成が可能

[root@freeipa ~]# ipa user-add
First name: Arcueid                <-- First nameの入力
Last name: Brunestud               <-- Last nameの入力
User login [abrunestud]: arcueid   <-- ログイン名の入力
--------------------
Added user "arcueid"
--------------------
  User login: arcueid
  First name: Arcueid
  Last name: Brunestud
  Full name: Arcueid Brunestud
  Display name: Arcueid Brunestud
  Initials: AB
  Home directory: /home/arcueid
  GECOS: Arcueid Brunestud
  Login shell: /bin/sh
  Principal name: arcueid@SYBYL.LOCAL
  Principal alias: arcueid@SYBYL.LOCAL
  Email address: arcueid@sybyl.local
  UID: 1708600003
  GID: 1708600003
  Password: False
  Member of groups: ipausers
  Kerberos keys available: False
[root@freeipa ~]#

「First name」と「Last name」としてログイン名(User login)を入れるとあとは自動でアカウントを作ってくれます. ただ、この段階ではホームディレクとは作りません.
その後の調整としてUID/GID/LoginShellらを調整します

[root@freeipa ~]# ipa user-mod --uid=3001 --gidnumber=2001 --shell=/bin/bash arcueid
 
(確認)
[root@freeipa ~]# id arcueid
uid=3001(arcueid) gid=2001(em) groups=2001(em)
[root@freeipa ~]# getent passwd arcueid
arcueid:*:3001:2001:Arcueid Brunestud:/home/arcueid:/bin/bash
[root@freeipa ~]#

簡単にはこちらでいいのかも

[root@freeipa ~]# ipa user-add arcueid --first=Arcueid --last=Brunestud --homedir=/home/arcueid --shell=/bin/bash --uid=3001 --gidnumber=2001

パスワードは従来の「passwd arcueid」ではエラーのようで

[root@freeipa ~]# passwd arcueid
Changing password for user arcueid.
Password reset by root is not supported.
passwd: Authentication token manipulation error
[root@freeipa ~]#

rootというかadminチケットを持つユーザでの変更は「ipa user-mod --password arcueid」で行う

[root@freeipa ~]# ipa user-mod --password arcueid
Password:
Enter Password again to verify:
-----------------------
Modified user "arcueid"
-----------------------
  User login: arcueid
  First name: Arcueid
  Last name: Brunestud
  Home directory: /home/arcueid
  Login shell: /bin/bash
  Principal name: arcueid@SYBYL.LOCAL
  Principal alias: arcueid@SYBYL.LOCAL
  Email address: arcueid@sybyl.local
  UID: 3001
  GID: 2001
  Account disabled: False
  Password: True
  Member of groups: ipausers
  Kerberos keys available: True
[root@freeipa ~]#

一応「--random」と打つとパスワードは作ってくれるけど、結構複雑

[root@freeipa ~]# ipa user-add illya --first=Illyasviel --last=Einzbern --initials=von --homedir=/home/illya --shell=/bin/bash --uid=3002 --gidnumber=2001 --random
------------------
Added user "illya"
------------------
  User login: illya
  First name: Illyasviel
  Last name: Einzbern
  Full name: Illyasviel Einzbern
  Display name: Illyasviel Einzbern
  Initials: von
  Home directory: /home/illya
  GECOS: Illyasviel Einzbern
  Login shell: /bin/bash
  Principal name: illya@SYBYL.LOCAL
  Principal alias: illya@SYBYL.LOCAL
  User password expiration: 20220429131453Z
  Email address: illya@sybyl.local
  Random password: 7Qa-Vy]%$!8N,Pv5fc:Sj%
  UID: 3002
  GID: 2001
  Password: True
  Member of groups: ipausers
  Kerberos keys available: True
[root@freeipa ~]#

ホームディレクトリの作成

クライアント参加時の「ipa-client-install」にオプションとして「--mkhomedir」を加えれば勝手にホームディレクトリを
作ってくれるけど、それがnfs先、しかもautofsでもできるの?確かめていない。
っで、nfsサーバで作る

[root@freeipa-nfs ~]# mkhomedir_helper arcueid 0022 /etc/skel
[root@freeipa-nfs ~]# mkhomedir_helper illya 0022 /etc/skel
トップ   編集 添付 複製 名前変更     ヘルプ   最終更新のRSS
Last-modified: 2023-01-05 (木) 02:43:30 (148d)