Comment installer le client FreeIPA sur Fedora 35

Ces intégrations permettent à un administrateur système de configurer facilement le serveur de manière centralisée, sur le serveur FreeIPA. Lorsqu'une commande de gestion est exécutée sur la machine Client, le client FreeIPA l'envoie au serveur où elle est exécutée.

Contenu associé

• Comment gérer les utilisateurs et les groupes dans FreeIPA Server
• Comment installer le client FreeIPA sur Rocky Linux/Alma Linux/CentOS 8
• Comment installer et configurer FreeIPA sur Rocky Linux/Centos 8
• Comment installer et configurer le client FreeIPA sur Ubuntu 20.04
• Comment configurer la réplication FreeIPA sur Rocky Linux/Alma Linux/Centos 8

Prérequis

Pour suivre, assurez-vous d'avoir les éléments suivants

• Un serveur/poste de travail Fedora 35 mis à jour
• Un serveur IPA que le client rejoindra
• Accès sudo au serveur ou utilisateur avec accès sudo
• Accès Internet depuis le serveur

Table des matières

1. Installation des packages FreeIPA
2. Configuration du client
3. Activer la création de répertoires personnels lors de la première connexion
4. Tester l'ajout du client
5. Utilisation de l'outil de gestion de ligne de commande FreeIPA ipa
6. Activer l'authentification sans mot de passe à l'aide de la clé privée
7. Suppression du client Rocky Linux/Alma Linux IPA

1. Installation des packages FreeIPA

Sur Fedora 35 Server/Workstation, le client FreeIPA est disponible dans les dépôts par défaut en tant que freeipa-client . Effectuez une recherche à l'aide de cette commande :

sudo dnf search freeipa-client

Installez les packages du client FreeIPA à l'aide de cette commande.

sudo dnf -y install freeipa-client

Confirmez l'ajout du client à l'aide de rpm -qi commande

$ rpm -qi freeipa-client
Name        : freeipa-client
Version     : 4.9.7
Release     : 2.fc35
Architecture: x86_64
Install Date: Sat 13 Nov 2021 08:22:50 AM UTC
Group       : Unspecified
Size        : 242563
License     : GPLv3+
Signature   : RSA/SHA256, Fri 15 Oct 2021 07:13:26 PM UTC, Key ID db4639719867c58f
Source RPM  : freeipa-4.9.7-2.fc35.src.rpm
Build Date  : Fri 15 Oct 2021 06:59:37 PM UTC
Build Host  : buildvm-x86-25.iad2.fedoraproject.org
Packager    : Fedora Project
Vendor      : Fedora Project
URL         : http://www.freeipa.org/
Bug URL     : https://bugz.fedoraproject.org/freeipa
Summary     : IPA authentication for use on clients
Description :
IPA is an integrated solution to provide centrally managed Identity (users,
hosts, services), Authentication (SSO, 2FA), and Authorization
(host access control, SELinux user roles, services). The solution provides
features for further integration with Linux based clients (SUDO, automount)
and integration with Active Directory based infrastructures (Trusts).
If your network uses IPA for authentication, this package should be
installed on every client machine.
This package provides command-line tools for IPA administrators.

2. Configuration du client

Une fois l'installation des packages FreeIPA Client terminée. Ajoutez le nom d'hôte et l'adresse IP de votre serveur IPA à /etc/hosts  fichier si vous n'avez pas de résolution DNS fonctionnelle.

echo "10.2.40.149 ipa.citizix.com" | sudo tee /etc/hosts

Définissez le nom d'hôte de votre système.

sudo hostnamectl set-hostname fedora-client.citizix.com

Nous pouvons ensuite configurer le client en spécifiant le serveur FreeIPA et le nom de domaine

sudo ipa-client-install --server=ipa.citizix.com --domain ipa.citizix.com

Vous pouvez également ajouter d'autres arguments en spécifiant le nom d'hôte, le serveur, le domaine et le domaine du client ipa, comme dans cet exemple.

sudo ipa-client-install --hostname=fedora-client.citizix.com \
 --mkhomedir \
 --server=ipa.citizix.com \
 --domain ipa.citizix.com \
 --realm IPA.CITIZIX.COM

C'est ma sortie. Vous devriez voir quelque chose de similaire à ceci

$ sudo ipa-client-install --server=ipa.citizix.com --domain ipa.citizix.com
This program will set up IPA client.
Version 4.9.7

Autodiscovery of servers for failover cannot work with this configuration.
If you proceed with the installation, services will be configured to always access the discovered server for all operations and will not fail over to other servers in case of failure.
Proceed with fixed values and no DNS discovery? [no]: yes
Do you want to configure chrony with NTP server or pool address? [no]: no
Client hostname: fedora-client.citizix.com
Realm: IPA.CITIZIX.COM
DNS Domain: ipa.citizix.com
IPA Server: ipa.citizix.com
BaseDN: dc=ipa,dc=citizix,dc=com

Continue to configure the system with these values? [no]: yes
Synchronizing time
No SRV records of NTP servers found and no NTP server or pool address was provided.
Using default chrony configuration.
Attempting to sync time with chronyc.
Time synchronization was successful.
User authorized to enroll computers: admin
Password for [email protected]:
Successfully retrieved CA cert
    Subject:     CN=Certificate Authority,O=IPA.CITIZIX.COM
    Issuer:      CN=Certificate Authority,O=IPA.CITIZIX.COM
    Valid From:  2021-11-09 05:42:01
    Valid Until: 2041-11-09 05:42:01

Enrolled in IPA realm IPA.CITIZIX.COM
Created /etc/ipa/default.conf
Configured sudoers in /etc/authselect/user-nsswitch.conf
Configured /etc/sssd/sssd.conf
Configured /etc/krb5.conf for IPA realm IPA.CITIZIX.COM
Systemwide CA database updated.
Hostname (fedora-client.citizix.com) does not have A/AAAA record.
Failed to update DNS records.
Missing A/AAAA record(s) for host fedora-client.citizix.com: 10.2.40.174.
Incorrect reverse record(s):
10.2.40.174 is pointing to ip-10-2-40-174.us-west-2.compute.internal. instead of fedora-client.citizix.com.
Adding SSH public key from /etc/ssh/ssh_host_rsa_key.pub
Adding SSH public key from /etc/ssh/ssh_host_dsa_key.pub
Adding SSH public key from /etc/ssh/ssh_host_ecdsa_key.pub
Adding SSH public key from /etc/ssh/ssh_host_ed25519_key.pub
Could not update DNS SSHFP records.
SSSD enabled
Configured /etc/openldap/ldap.conf
Configured /etc/ssh/ssh_config
Configured /etc/ssh/sshd_config.d/04-ipa.conf
Configuring ipa.citizix.com as NIS domain.
Client configuration complete.
The ipa-client-install command was successful

3. Activer la création de répertoires personnels lors de la première connexion

Si le répertoire personnel de l'utilisateur n'est pas créé automatiquement, activez cette fonctionnalité en exécutant la commande ci-dessous. Cela créera un répertoire personnel lors de la connexion initiale.

$ sudo authselect enable-feature with-mkhomedir
Make sure that SSSD service is configured and enabled. See SSSD documentation for more information.

- with-mkhomedir is selected, make sure pam_oddjob_mkhomedir module
  is present and oddjobd service is enabled and active
  - systemctl enable --now oddjobd.service

$ sudo systemctl enable --now oddjobd
Created symlink /etc/systemd/system/multi-user.target.wants/oddjobd.service → /usr/lib/systemd/system/oddjobd.service.

4. Ajout du client test

Pour tester que le client a été ajouté avec succès, connectons-nous avec un utilisateur dans freeipa. Si c'est la première fois que vous vous connectez, vous devriez voir une invite de changement de mot de passe, sinon vous verrez ceci :

$ ssh [email protected]
([email protected]) Password:
Last login: Sat Nov 13 08:29:12 2021 from 10.2.40.174

[[email protected] ~]$

5. Utilisation de l'outil de gestion de ligne de commande FreeIPA ipa

Vous pouvez administrer le serveur FreeIPA à partir de la machine cliente à l'aide de l'outil de ligne de commande ipa.

Tout d'abord, obtenez un ticket Kerberos.

$ kinit admin
Password for [email protected]:

Vérifiez les informations d'expiration du ticket à l'aide de klist.

$ klist
Ticket cache: KCM:1000
Default principal: [email protected]

Valid starting       Expires              Service principal
11/12/2021 21:27:59  11/13/2021 21:27:47  krbtgt/[email protected]

Testez en ajoutant un compte utilisateur et en listant les comptes présents :

$ sudo ipa user-add kip \
     --first=Kipkoech \
     --last=Towett \
     [email protected] \
     --password

Password:
Enter Password again to verify:
----------------
Added user "kip"
----------------
  User login: kip
  First name: Kipkoech
  Last name: Towett
  Full name: Kipkoech Towett
  Display name: Kipkoech Towett
  Initials: KT
  Home directory: /home/kip
  GECOS: Kipkoech Towett
  Login shell: /bin/bash
  Principal name: [email protected]
  Principal alias: [email protected]
  User password expiration: 20211112183007Z
  Email address: [email protected]
  UID: 1063800003
  GID: 1063800003
  Password: True
  Member of groups: ipausers
  Kerberos keys available: True

Vérifiez.

$ ipa user-find kip
--------------
1 user matched
--------------
  User login: kip
  First name: Kipkoech
  Last name: Towett
  Home directory: /home/kip
  Login shell: /bin/bash
  Principal name: [email protected]
  Principal alias: [email protected]
  Email address: [email protected]
  UID: 1063800003
  GID: 1063800003
  Account disabled: False
----------------------------
Number of entries returned 1
----------------------------

6. Activer l'authentification sans mot de passe à l'aide de la clé privée

Si vous souhaitez vous authentifier sur un serveur sans mot de passe, copiez votre clé publique sur FreeIPA Server. Dans le profil utilisateur, cliquez sur Ajouter  bouton sous "Clés publiques SSH ", collez votre clé publique dans la boîte et enregistrez.

7. Suppression du client Fedora 35 IPA

La suppression du client FreeIPA sur Rocky Linux/Alma Linux 8 peut être effectuée en exécutant la commande :

$ sudo ipa-client-install  --uninstall

Conclusion

Dans ce guide, nous avons réussi à installer et configurer le client FreeIPA sur un Fedora 35.