我们有几台 Linux 机器(运行各种版本的 Fedora 和 CentOS,但这应该不相关),其中有本地用户。大多数本地用户的登录名相同,但根据创建时间和创建者的不同,可能具有不同的 UID/GID。我们希望消除这种情况,并决定免费IPA
如何将已经存在的本地 Linux 用户映射到 FreeIPA 用户?
只是为了更加清楚:假设我有一个名为abcmachine 的本地用户ook和一个名为 的 FreeIPA 用户abc,并且ook设置为可以访问 的 FreeIPA 主机ook,当我以 abc 的身份通过 ssh 进入 ookssh abc@ook时,系统会提示我输入 FreeIPA 的密码。更好的是,由于我为用户定义了一个公钥,因此abc只要我在 上经过身份验证和授权,我就应该无需密码即可登录ook。~abc是本地帐户中存在的内容(在引入 FreeIPA 之前),而不是具有相同登录名但不同 UID/GID 的另一个帐户。
这可能吗?
答案1
我认为这里面没有什么魔法:有时你必须确保 UID/GID 的唯一性和在所有服务器之间进行对齐,然后包括在 LDAP 中。如果未实现对齐,则您可能会获得意外的权限。如何实现这一点?
- 从所有 /etc/passwd 和 /etc/group 收集所有 UID/GID
- 测量差异和冲突(包括与 LDAP 中现有的 UID/GID 进行比较)
- 为不一致的帐户定义目标 UID/GID
- usermod / grpmode 更改 UID 和 GID
- 需要时使用 chmod 和 chown
一旦所有地方都对齐,由于服务器配置为依赖 LDAP(PAM 和 NSS),本地帐户和组就不再需要,应该被删除,在我看来。