介绍
FreeIPA可以快速、便捷的将linux系统接入,进行统一的身份认证和权限管理。
FreeIPA 是Linux的开源安全解决方案,提供帐户管理和集中身份验证,类似于Microsoft的Active Directory。FreeIPA构建于多个开源项目之上,包括389 Directory Server,MIT Kerberos和SSSD。
我们在实际使用过程中,会有一些已经预建的用户,那就需要将这部分用户同步到FreeIPA中。同时,对于在FreeIPA中新建的用户,我们也需要将其同步到其他服务器中,并创建对应的用户根目录。本文主要介绍如何将本地用户同步到FreeIPA及用户同步到其他服务器,并创建用户根目录。
测试环境
• 一台FreeIPA Server服务器,版本为4.6.6
• 一台CDP-DC服务器,上面已经部署了FreeIPA客户端,客户端版本为:4.6.6
• 两台服务器操作系统:RELS7.7
同步本地用户到FreeIPA服务端
FreeIPA客户端切换到admin
代码语言:javascript复制[root@ip-10-0-0-214 ~]# kinit admin
Password for admin@AP-SOUTHEAST-1.COMPUTE.INTERNAL:
[root@ip-10-0-0-214 ~]# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: admin@AP-SOUTHEAST-1.COMPUTE.INTERNAL
Valid starting Expires Service principal
06/09/2020 00:48:19 06/10/2020 00:48:15 krbtgt/AP-SOUTHEAST-1.COMPUTE.INTERNAL@AP-SOUTHEAST-1.COMPUTE.INTERNAL
renew until 06/16/2020 00:48:15
编写本地用户同步脚本并保存
使用编辑器将下面的代码复制到文件中,保存成sh.
代码语言:javascript复制#!/bin/bash
for line in `grep "x:[5-9][0-9][0-9]:" /etc/passwd`
do
USER=`echo $line | cut -d: -f1`
FIRST=`echo $line | cut -d: -f5 | awk {'print $1'}`
LAST=`echo $line | cut -d: -f5 | awk {'print $2'}`
if [ ! "$FIRST" ]
then
FIRST=$USER
fi
if [ ! "$LAST" ]
then
LAST=$USER
fi
echo $USER | ipa user-add $USER --first=$FIRST --last=$LAST --password
done查询本地用户
通过cat /etc/passwd查看本地用户
通过shell执行上述脚本,导入用户
代码语言:javascript复制sh inputuser.sh
检查用户
Kerberos系统查看用户
进入FreeIPA server端,查看Kerberos系统中的用户
代码语言:javascript复制[root@ip-10-0-0-170 ~]# kadmin.local
Authenticating as principal admin/admin@AP-SOUTHEAST-1.COMPUTE.INTERNAL with password.
kadmin.local: listprincs
admin@AP-SOUTHEAST-1.COMPUTE.INTERNAL
K/M@AP-SOUTHEAST-1.COMPUTE.INTERNAL
krbtgt/AP-SOUTHEAST-1.COMPUTE.INTERNAL@AP-SOUTHEAST-1.COMPUTE.INTERNAL
kadmin/ip-10-0-0-170.ap-southeast-1.compute.internal@AP-SOUTHEAST-1.COMPUTE.INTERNAL
kadmin/admin@AP-SOUTHEAST-1.COMPUTE.INTERNAL
kadmin/changepw@AP-SOUTHEAST-1.COMPUTE.INTERNAL
kiprop/ip-10-0-0-170.ap-southeast-1.compute.internal@AP-SOUTHEAST-1.COMPUTE.INTERNAL
ldap/ip-10-0-0-170.ap-southeast-1.compute.internal@AP-SOUTHEAST-1.COMPUTE.INTERNAL
其中红色标注部分都是刚才导入的本地用户。
FreeIPA查看用户
通过浏览器访问FreeIPA UI,查看用户:
从UI中可以看到,里面的很多用户都是刚刚从本地同步过来的用户。
FreeIPA用户同步到客户端服务器
在RedHat的图中并没有列出SSSD,它不属于IPAServer,而是属于IPAClient。它主要用于Linux系统用户管理。
我们知道,当我们使用useradd命令去创建一个用户的时候,会在linux的/etc/passwd文件记录下来。但是使用freeipa创建的用户,其信息并不保存在/etc/passwd,而是保存在DS的数据库中。那它是如何进行工作的呢?
Linux有一个配置文件
代码语言:javascript复制[root@hdp136 ~]# cat /etc/nsswitch.conf
...
passwd: files sss
...
这个配置文件中的files就是指linux的本地文件,如/etc/passwd,而sss则是指的Linux中的一个内核进程:
代码语言:javascript复制[root@hdp136 ~]# service sssd status
sssd (pid 1799) is running...
而我们使用用户登录到linux系统中时,其流程如下:
需要注意的是sssd本身是有缓存的,它不会时时去到ldap服务器查询用户信息,因此我们也不必要担心网络导致登录很慢。
SSSD日志配置
SSSD如果需要修改日志级别,可以如下修改:
代码语言:javascript复制[root@hdfs142 sssd]# vi /etc/sssd/sssd.conf
[domain/example.com]
cache_credentials = True
debug_level = 9 ---修改这个值然后重启sssd然后重启相应的sssd,即可以在/var/log/ssssd/ ldap_child.log查看到详细的说明
验证
1. 在FreeIPA的UI上创建一个测试用户test:
点击添加后,通过活跃用户的管理页面搜索可以看到test用户
客户端验证
进入到FreeIPA的客户端机器,从root用户切换到test用户
执行cd退回到根目录报错,显示没有对应的命令。
执行ls操作,报没有权限的错误。
这是因为我们没有设置自动创建用户根目录造成的。
接下来我们进行Kerberos认证:
可见用户已经同步到了Kerberos系统中。
自动创建根目录配置
修改客户端配置文件:
代码语言:javascript复制i /etc/pam.d/system-auth
# add if you need ( create home directory automatically if it's none )
session optional pam_mkhomedir.so skel=/etc/skel umask=077
重启oddjobd服务并设置为自动启动
代码语言:javascript复制systemctl start oddjobd #启动服务
systemctl enable oddjobd
验证用户根目录是否存在
切换到test用户继续验证:
大家可以看到,在oddjobd服务重启后,系统已经自动创建了test用户的根目录并可以访问。
总结
通过FreeIPA可以方便的管理本地用户和服务器用户的同步及管理。
