FreeIPA, Red Hat tarafından desteklenen açık kaynaklı bir Kimlik yönetim sistemidir. Kolay yönetilen bir Kimlik, Politika ve Denetim sağlamayı amaçlar. Bu yazıda Ubuntu sistemi üzerinde freeipa istemcisinin nasıl kurulacağını okuyabilirsiniz.
Kurulum Önkoşulu
- FreeIPA Sunucusunu Kurun
- Yüklü ve güncellenmiş Ubuntu 20.04/18.04 / Ubuntu 16.04 sunucusu / CentOS 7
- Root erişimi
1. Adım: Sistemi güncelleyin
Sunucu yapılandırmalarını her zaman sistem paketlerinin güncellemesini yaparak başlatırız:
Ubuntu:
sudo apt-get update
sudo apt-get upgrade
CentOS:
CentOS’u aşağıdaki komutlarla güncelleyin:
sudo yum -y update
Çekirdek güncellemeleri alırsanız, değişikliklerin gerçekleşmesi için sunucuyu yeniden başlatmayı düşünün.
Geçerli istemci ana bilgisayar adını (FQDN) yapılandırın:
sudo hostnamectl set-hostname node-01.computingforgeeks.com
2. Adım: FreeIPA İstemcisini Kurun
FreeIPA istemcisi, Ubuntu / CentOS Linux için depolarda mevcuttur. Komutu kullanarak yükleyin:
Ubuntu:
FreeIPA Client’ı Ubuntu sistemine kurmak için kullanacağınız komutlar aşağıdadır.
sudo apt-get install freeipa-client
CentOS7:
FreeIPA Client’ı aşağıdaki komutla CentOS 7’ye kurun.
sudo yum -y install ipa-client
Sunucu için bir Kerberos bölgesi sağlamanız istendiğinde, < Enter> tuşuna basarak atlayın .
FreeIPA İstemcisini CentOS 7’ye yükleyin
FreeIPA Client’ı CentOS 7’ye kurmak için aşağıdaki komutu çalıştırın.
sudo yum install ipa-client
Bu, bir sonraki adımda yapılandırılacaktır:
Adım 3: FreeIPA İstemcisini Yapılandırın
İstemci paketinin kurulumu tamamlandıktan sonra. IPA Sunucunuzun ana bilgisayar adını ve IP adresini /etc/hosts dosyasına ekleyin:
$ sudo vim /etc/hosts
# Add FreeIPA Server IP and hostname
192.168.58.121 ipa.computingforgeeks.com ipa
Yer değiştirmek:
- FreeIPA replikanızın veya ana sunucunuzun 192.168.58.121 IP adresi.
- ipa.computingforgeeks.com ana bilgisayar adıyla:
Ardından, bu sunucuda IPA istemcisini yapılandırın, böylece kullanıcılar buna karşı kimlik doğrulamaya başlayabilir:
root@node-01:~# ipa-client-install --hostname=`hostname -f` \
--mkhomedir \
--server=ipa.computingforgeeks.com \
--domain computingforgeeks.com \
--realm COMPUTINGFORGEEKS.COM
Autodiscovery of servers for failover cannot work with this configuration.
If you proceed with the installation, services will be configured to always access the discovered server for all operations and will not fail over to other servers in case of failure.
Proceed with fixed values and no DNS discovery? [no]: yes
Client hostname: node-01.computingforgeeks.com
Realm: COMPUTINGFORGEEKS.COM
DNS Domain: computingforgeeks.com
IPA Server: ipa.computingforgeeks.com
BaseDN: dc=computingforgeeks,dc=com
Bu, sunucunuzda FreeIPA İstemcisini yapılandırmaya başlayacaktır:
Synchronizing time
No SRV records of NTP servers found and no NTP server or pool address was provided.
Using default chrony configuration.
Attempting to sync time with chronyc.
Time synchronization was successful.
User authorized to enroll computers: admin
Password for [email protected]:
Successfully retrieved CA cert
Subject: CN=Certificate Authority,O=COMPUTINGFORGEEKS.COM
Issuer: CN=Certificate Authority,O=COMPUTINGFORGEEKS.COM
Valid From: 2018-06-30 08:27:06
Valid Until: 2038-06-30 08:27:06
Enrolled in IPA realm COMPUTINGFORGEEKS.COM
Created /etc/ipa/default.conf
New SSSD config will be created
Configured sudoers in /etc/nsswitch.conf
Configured /etc/sssd/sssd.conf
Configured /etc/krb5.conf for IPA realm COMPUTINGFORGEEKS.COM
trying https://ipa.computingforgeeks.com/ipa/json
.......................
Her şey beklendiği gibi gittiyse, aşağıdaki gibi başarılı bir mesaj almalısınız:
The ipa-client-install command was successful
Adım 4: mkhomedir’i etkinleştirin ( Yalnızca Ubuntu için)
Varsayılan olarak, sssd hizmeti ilk oturum açmada kullanıcı için bir ev dizini oluşturmaz, bu özelliği PAM yapılandırma dosyasını değiştirerek etkinleştirmemiz gerekir.
sudo bash -c "cat > /usr/share/pam-configs/mkhomedir" <<EOF
Name: activate mkhomedir
Default: yes
Priority: 900
Session-Type: Additional
Session:
required pam_mkhomedir.so umask=0022 skel=/etc/skel
EOF
O zaman koş:
$ sudo pam-auth-update
<Tamam>’ı seçin
“Active mkhomedir” seçili olduğundan emin olun , [*] olmalıdır
Ardından değişiklikleri kaydetmek için <Tamam> öğesini seçin.
Adım 4: FreeIPA İstemcisini Test Etme (Ubuntu ve CentOS 7)
Artık yapılandırmamız gereken her şeye sahip olduğumuza göre, FreeIPA Sunucusunda test kullanıcı hesabı oluşturalım ve eklenen kullanıcı hesabıyla istemciye ssh yapmayı deneyelim. UI veya CLI’den FreeIPA sunucusuna bir hesap ekleyebilirsiniz.
CLI’den kullanıcı hesabı ekleyin:
FreeIPA sunucusuna giriş yapın ve yönetici kullanıcı için bir Kerberos bileti alın:
$ sudo kinit admin
Password for [email protected]:
İstendiğinde yönetici şifresini girin. Şu komutu kullanarak aktif bir biletiniz olduğunu onaylayın:
[root@ipa ~]# klist
Ticket cache: KEYRING:persistent:0:0
Default principal: [email protected]
Valid starting Expires Service principal
06/30/2018 09:33:40 07/01/2018 09:33:37 krbtgt/[email protected]
FreeIPA’ya kullanıcı ekle:
- Tüm hesaplar için varsayılan kabuğu /bin/bash olarak ayarlayın:
sudo ipa config-mod --defaultshell=/bin/bash
- Kullanıcı oluştur
[root@ipa ~]# ipa user-add jmutai --first=Josphat \
--last=Mutai [email protected] --password
Password:
Enter Password again to verify:
-------------------
Added user "jmutai"
-------------------
User login: jmutai
First name: Josphat
Last name: Mutai
Full name: Josphat Mutai
Display name: Josphat Mutai
Initials: JM
Home directory: /home/jmutai
GECOS: Josphat Mutai
Login shell: /bin/bash
Principal name: [email protected]
Principal alias: [email protected]
Email address: [email protected]
UID: 32200001
GID: 32200001
Password: True
Member of groups: ipausers
Kerberos keys available: True
Kayıtlı müşteriye giriş yapın ve kullanıcı varlığını kontrol edin:
root@node-01:~# id jmutai
uid=32200001(jmutai) gid=32200001(jmutai) groups=32200001(jmutai)
You can confirm the existence of a user with ID 32200001
root@node-01:~# ssh jmutai@localhost
The authenticity of host 'localhost (<no hostip for proxy command>)' can't be established.
ECDSA key fingerprint is SHA256:y4GzK0NLDHF+g8pKNstpPq0Z6Gui+4jq/0WjtqKf5CE.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added 'localhost' (ECDSA) to the list of known hosts.
Password:
Password expired. Change your password now.
Current Password:
New password:
Retype new password:
Creating directory '/home/jmutai'.
Welcome to Ubuntu 18.04 LTS (GNU/Linux 4.15.0-23-generic x86_64)
* Documentation: https://help.ubuntu.com
* Management: https://landscape.canonical.com
* Support: https://ubuntu.com/advantage
System information as of Sat Jun 30 10:04:49 UTC 2018
jmutai@node-01:~$ id
uid=32200001(jmutai) gid=32200001(jmutai) groups=32200001(jmutai)
Kullanıcı hesabını kullanıcı arayüzünden FreeIPA’ya ekleyin:
Web kullanıcı arayüzüne bir hesap eklemek için FreeIPA web arayüzüne giriş yapın ve şuraya gidin:
Kimlik > Kullanıcılar > Etkin kullanıcılar > Ekle
Kullanıcıyı eklemek için Ekle düğmesine tıklayın .
Özel Anahtar kullanarak Parolasız Kimlik Doğrulamayı Etkinleştir
Parola olmadan bir sunucuda kimlik doğrulamak istiyorsanız, Genel anahtarınızı FreeIPA Sunucusuna kopyalayın:
“ SSH ortak anahtarları ” altındaki Ekle düğmesini tıklayın, ortak anahtarınızı kutuya yapıştırın ve kaydedin.
Yazının orijinalini buradan okuyabilirsiniz.
Kariyerime 26 yıl önce başladım. Windows ve Linux sistemlerinin kurulumu, yapılandırılması, yönetimi ve bakımı dahil olmak üzere birden fazla sistem üzerinde uzmanlaştım.
Açık kaynak dünyasındaki en son gelişmelerden haberdar olmaktan ve Linux hakkındaki en son araçları, özellikleri ve hizmetleri denemekten hoşlanıyorum.
Son 6 yıldır sistem ve ağ yöneticisi olarak görev yapıyorum ayrıca Pardus Dönüşüm Projesini yönetiyorum ve Pardus İşletim Sisteminin yaygınlaşması adına uğraş gösteriyorum.
Boş zamanlarımda açık kaynaklı uygulamaların Türkçe çevirisine katılıyorum ve The Document Foundation üyesiyim.