FreeIPAにLinuxマシンを参加させます.

下準備

事前にdnsサーバに本clientが乗っていることを確認します

[root@freeipa-client ~]# nslookup freeipa-client
Server:         192.168.0.3
Address:        192.168.0.3#53
 
Name:   freeipa-client.sybyl.local
Address: 192.168.0.147
 
[root@freeipa-client ~]# hostnamectl set-hostname `hostname -f`
[root@freeipa-client ~]# echo `hostname -I` `hostname -A` `hostname -s` >> /etc/hosts

っと大丈夫みたい

FreeIPAサーバがDNSを兼ねるなら、初めにFreeIPAでclientのipアドレス/名前を登録しておくこと.

パッケージインストール

パッケージをインストールします. 使用するコマンドは「dnf module install idm」としました. 「dnf module install idm:DL1/client」がサーバ側と同じバージョンなのでいいのでしょうけど. さして差があるかな

[root@freeipa-client ~]# cat /etc/redhat-release
AlmaLinux release 8.5 (Arctic Sphynx)
 
[root@freeipa-client ~]# dnf module install idm -y

参加作業

FreeIPAサーバに参加するには「ipa-client-install」を使用しますが、DNSサーバ自身がFreeIPAサーバならすんなりですが、
DNSサーバが別で用意しているならそれを(FreeIPAサーバを)「--server」で示す必要がある. ここではDNSサーバとFreeIPAサーバが別なので、「--server」を使用します
*--serverの値は FQDN です

[root@freeipa-client ~]# ipa-client-install --server=freeipa.sybyl.local --domain=sybyl.local
This program will set up IPA client.
Version 4.9.6
 
Autodiscovery of servers for failover cannot work with this configuration.     <--- FreeIPAを複数用意しての耐障害がないけどいいの?って問われる. ない.
If you proceed with the installation, services will be configured to always access the discovered server for all operations and will not fail over to other servers in case of failure.
 
 
Proceed with fixed values and no DNS discovery? [no]: yes                  <-- DNSを他で管理しているので「yes」と返事
Do you want to configure chrony with NTP server or pool address? [no]:     <-- ntpはchronyで既に管理しているの「no」とそのまま返事
Client hostname: freeipa-client.sybyl.local
Realm: SYBYL.LOCAL
DNS Domain: sybyl.local
IPA Server: freeipa.sybyl.local
BaseDN: dc=sybyl,dc=local
 
Continue to configure the system with these values? [no]: yes             <-- この構成で続けるので「yes」
Synchronizing time
No SRV records of NTP servers found and no NTP server or pool address was provided.
Using default chrony configuration.
Attempting to sync time with chronyc.
Time synchronization was successful.
User authorized to enroll computers: admin                     <--- freeipaとつないでチケットをもらうのですが、そのアカウントを指定
Password for admin@SYBYL.LOCAL:                                <--- 「admin@SYBYL.LOCAL」のチケットをもらうためにパスワードを入力
Successfully retrieved CA cert
    Subject:     CN=Certificate Authority,O=SYBYL.LOCAL
    Issuer:      CN=Certificate Authority,O=SYBYL.LOCAL
    Valid From:  2022-04-25 10:39:34
    Valid Until: 2042-04-25 10:39:34
 
Enrolled in IPA realm SYBYL.LOCAL
Created /etc/ipa/default.conf
Configured sudoers in /etc/authselect/user-nsswitch.conf
Configured /etc/sssd/sssd.conf
Configured /etc/krb5.conf for IPA realm SYBYL.LOCAL
Systemwide CA database updated.
Adding SSH public key from /etc/ssh/ssh_host_ed25519_key.pub
Adding SSH public key from /etc/ssh/ssh_host_ecdsa_key.pub
Adding SSH public key from /etc/ssh/ssh_host_rsa_key.pub
Could not update DNS SSHFP records.
SSSD enabled
Configured /etc/openldap/ldap.conf
Configured /etc/ssh/ssh_config
Configured /etc/ssh/sshd_config
Configuring sybyl.local as NIS domain.
Client configuration complete.
The ipa-client-install command was successful
 
[root@freeipa-client ~]#

確認

ipa-client-installの完成後には sssd が動いていて下記のようになっている

[root@freeipa-client ~]# authselect current
Profile ID: sssd
Enabled features:
- with-sudo
 
[root@freeipa-client ~]#

っでこの段階で既にidとかは拾える

[root@freeipa-client ~]# id arcueid
uid=3001(arcueid) gid=2001(em) groups=2001(em)
 
[root@freeipa-client ~]# getent passwd arcueid
arcueid:*:3001:2001:Arcueid Brunestud:/home/arcueid:/bin/bash
 
[root@freeipa-client ~]#

めも

設定を変更するには一度「ipa-client-install --uninstall」を実行してから行う事. すぐさま再起動を要求されます.
ホームディレクトリを設けるなら「ipa-client-install」のオプションとして更に「--mkhomedir」を付けて設定を行います

ですがホームディレクトリ先をnfsで受けるなら、nfsサーバを作ってそこで「mkhomedir_helper」コマンドでホームディレクトリを作ったほうがいい.
「ipa-client-install」の「--mkhomedir」はローカルにホームディレクトリを作る際のお話かなと.

[root@freeipa-client ~]# ls -l /home
total 0
[root@freeipa-client ~]# su - arcueid
Creating home directory for arcueid.
 
[arcueid@freeipa-client ~]$ pwd
/home/arcueid
 
[arcueid@freeipa-client ~]$

クライアントを設定するとおおもとのFreeIPAサーバにも設定されます.

[root@freeipa ~]# ipa host-show freeipa-client
  Host name: freeipa-client.sybyl.local
  Platform: x86_64
  Operating system: 4.18.0-348.20.1.el8_5.x86_64
  Principal name: host/freeipa-client.sybyl.local@SYBYL.LOCAL
  Principal alias: host/freeipa-client.sybyl.local@SYBYL.LOCAL
  SSH public key fingerprint: SHA256:FQFbBT68Hd8ZD+zRcj4FqcWOwhVPuQQhq+vdcbVgixs (ssh-ed25519),
                              SHA256:FTworyCvpf4r3hHgOvPEbyNULWtJGV4PNhifSOHhQXw (ecdsa-sha2-nistp256),
                              SHA256:3U7UaLHp+yx9Xq6qfVXd96hEv04VYE18NBWQm8WxiFI (ssh-rsa)
  Password: False
  Keytab: True
  Managed by: freeipa-client.sybyl.local
[root@freeipa ~]#

ログイン

クライアントを設定す
[llya@c ~]$ ssh -l illya freeipa-client
Password: <--- 初期パスワードが問われます
Password expired. Change your password now.
Current Password:
New password:
Retype new password:
Last failed login: Fri Apr 29 22:24:42 JST 2022 from 192.168.0.3 on ssh:notty
[illya@freeipa-client ~]$
}}


トップ   編集 添付 複製 名前変更     ヘルプ   最終更新のRSS
Last-modified: 2022-04-30 (土) 06:29:15 (147d)