freeipa
使用 FreeIPA 设置高可用性 LDAP 身份验证
我正在尝试使用 FreeIPA 主/副本节点设置 pfSense LDAP 身份验证。 我能够使用主机名/IP 地址直接连接到主 LDAP 服务器,但是当它发生故障时,我该如何让 pfSense 自动故障转移到副本进行身份验证。如果有人能帮助我,那将非常有帮助。 ...
freeipa
freeipa
如何延迟脚本以允许 FreeIPA 首先启动?
我有一些带有 FreeIPA 服务器的容器,所有用户都通过该服务器进行身份验证。所有操作系统都是 Linux。我的一些容器具有通过 systemd 在启动时运行的服务。不幸的是,这些脚本似乎由于身份验证失败而失败。但是,如果我稍后使用 systemctl start 手动启动该服务,则该服务可以正常启动。 以下是我的某项服务的服务状态输出示例: ● emby-server.service - Emby Server is a personal media server with apps on just about every device. Load...
freeipa
通过 autofs 安装可用的驱动器
我们在 CentOS 7.4 上管理许多具有不同硬件配置的工作站。它们都共享由 FreeIPA 管理的自动挂载映射。 在这些工作站上,我们在 上安装了一个缓存磁盘/path/to/cache/。到目前为止,在自动挂载映射中,我们一直使用sdb1此挂载点的键: /path/to/cache -fstype=ext4 :/dev/sdb1 在一些新的工作站上,我们现在有 NVMe 磁盘用于缓存。因此,路径当然是不同的/dev/nvme0n1。 我们想处理这两种情况。有没有办法在 freeipa 中设置它,或者更简单地在单个 autofs 命令中设置它? ...
freeipa
如何在 Proxmox 下的 LXC 容器中利用 FreeIPA 集中身份验证?
我想请求帮助解决我在 Proxmox 家庭实验室中遇到的问题。我有一个 FreeIPA 域lab.ads1031.local,其中驻留着一个ads1031UID 为 的用户1000001。我想以该用户的身份登录在 Proxmox 下运行的 LXC 容器。容器的 ID 是104。 以下是我目前所做的: 将这些行放在我的 Proxmox 主机上的 /etc/subuid 中: root:100000:65536 root:5000000:2500000 在我的 Proxmox 主机上的 /etc/subgid 中放置了类似的行: root:1000...
freeipa
登录 Kerberos 帐户时 Windows 10 速度极慢
从 Windows 10 开始,我们的 FreeIPA Linux 域中的基于 Windows 的客户端出现了问题。 我们ksetup允许通过 Kerberos 进行身份验证,这样在设置本地帐户后,用户可以使用与 Linux 上相同的密码。这在 Windows 8.1 之前运行良好。 升级到 Windows 10 后,电脑通过 Kerberos 登录时变得非常慢。登录需要长达 30 分钟,打开“开始”菜单需要大约 1-2 分钟,打开 Firefox 等应用程序也需要大约 5 分钟,这导致电脑实际上无法使用。 登录本地用户帐户时,一切都按预期快速进行,即...
freeipa
profile.LdapProfile,读取 canonicalDN 时出错
脉宽调制当连接到我的 FreeIPA 服务器时,记录以下错误。 错误,profile.LdapProfile,读取 dn 值‘uid=pwmproxy,cn=sysaccounts,cn=etc,dc=example,dc=com’ 的规范 DN 时出错,错误:搜索规范 DN 没有结果 什么是规范 DN?FreeIPA 中它的对应项是什么?忽略错误可以吗? ...
freeipa
在 FreeIPA 域中注册 MacOS 10.13?
我尝试过本指南在我的 FreeIPA 域中注册一台运行 OS X 10.13.6 的 Mac,我的家庭网络上的所有 Linux 机器都是如此。 所有步骤均有效,但我无法以任何 freeipa 用户身份登录(甚至无法通过 ssh 登录)。 并且由于某种原因,当我将 LDAPv3 设置为使用 SSL 时,ipa 服务器在系统偏好设置中显示为离线,但是当我关闭 SSL 时,它可以正常连接。 ...
freeipa
在 FreeIPA 中生成 SSHFP 记录
我的设置 我有一组运行 Centos 7.3 的机器,并且使用 Kerberos / LDAP 进行身份验证。Kerberos / LDAP 已打包在 FreeIPA 4.4.0 中。 所有主机都有一个地址192.168.1.0/24。我将其称为“主要”网络。 有些主机的地址是192.168.2.0/24。我将其称为“辅助”网络。对于具有此第二个接口的主机,DNS 中有相应的额外 A / PTR 条目,用于关联辅助主机名和辅助 IP 地址。在所有情况下,辅助主机名都是<主主机名>-eth1。 我的目标 我正在努力在我们的集群中实现 SS...
freeipa
为用户设置 Keytab 失败:“kinit:获取初始凭证时密码不正确”
我有一组运行 CentOS 7.3 的机器。通过使用 FreeIPA 4.4,以统一的方式使用 Kerberos、DNS、LDAP 等。 我有一个运行自动化测试的特定用户。因此,该用户需要能够在不输入密码的情况下获得票据授予票据。我曾尝试通过创建密钥表并有效地“预先输入”密码来实现这一点。但是,我无法基尼特使用keytab,如下所示。 从 KDC 获取密钥版本号 (kvno) [[email protected] ~]# kadmin.local -q 'get_principal [email protected]' Authen...
freeipa
SSH 无密码认证的判定机制
我正在尝试了解成功执行无密码 SSH 身份验证的机制。虽然启用了公钥身份验证,但这是不是发生了什么。我在我的授权密钥文件。此外,我甚至不确定我的个人用户授权密钥由于我们使用 FreeIPA 的 LDAP 实现进行身份验证,因此文件开始发挥作用。 客户端 SSH 配置看起来好像正在使用基于主机的身份验证。但是,服务器端 SSH 配置已禁用基于主机的身份验证。 下面,我提供我认为所有相关的配置信息。 根据以下提供的内容,有人能向我解释无密码身份验证是如何发生的吗?如果没有,我可以提供哪些其他信息来提供帮助? 先感谢您! 软件版本 CentOS:7.3...
freeipa
用户导致自动挂载发生,但目录/文件却出现“权限被拒绝”的情况
我已经与此斗争了好几天,幸运的是窗户没有开得太大 ;-)。我正在组装一个新的基础设施,并试图让 NFS 自动挂载在 Ubuntu 上运行,并与 FreeIPA 一起工作,同样在 Ubuntu 上运行。我的标识和名称服务工作得很好;我可以在 NFS 服务器和客户端机器上执行“id student”(student 是我的测试用户),我得到的 uid、gid 和 groups 的值相同,这些值显然来自 FreeIPA。我可以以 student 的身份 ssh 到测试客户端机器,其中未定义帐户,并使用 FreeIPA 的密码登录。 奇怪的地方就在这里:“学生”被...
freeipa
如何同时针对两个不同的目录对 Linux 用户进行身份验证?
我有几个 Linux 服务器使用 SSSD 与 Microsoft AD 集成来验证 AD 用户。 AD 组由不同的部门管理,我想设置另一个目录来管理我自己的组,但我不能直接退出域。 因此,我正在考虑安装一个新的 OpenLDAP 或 IPA 服务器来创建我自己的组,并在我的 Linux 服务器中提出一个配置,这样它们就可以同时从 AD 和我的 LDAP 中提取身份/组。因此,如果用户同时存在于两个组中,则该用户所属的组列表将是由两个组列表组成的超集。 例如 - 假设我有一个用户 John,他存在于 AD 中,并且他包含在 AD 组中:“group1”...
freeipa
总结
总结 我希望 Windows 客户端能够使用 freeipa 凭据访问 samba 共享。 问题 这是超级用户而不是 serverfault,因为它不是工作生产环境;这是我的家庭网络。有许多使用 GNU/Linux samba 与 Windows 互操作的指南。但我不想有跨域信任(我的 Windows AD 域最终会消失)。 我可以将 samba 配置为指向 freeipa(ipasam?ldapsam?),以便在我的 Windows 客户端(我用来玩游戏)上可以使用“[电子邮件保护]“连接到 \linuxserver\sharename? 我知道如何配置 ...
freeipa
如何在多域环境中配置 freeIPA?
我在不同的域中拥有多台服务器。 示例:域 abc.com 中有 6 个系统(server1.abc.com、server2.abc.com ... server6.abc.com)且域 xyz.com 中有 5 个系统(server1.xyz.com、server2.xyz.com ... server5.xyz.com)所有客户端计算机都在另一个域 example.com 中运行,并且每个域位于不同的子网中。 我想要设置 freeIPA,以便 example.com 中的用户可以使用 SSO 连接到域 abc.com 和 xyz.com 中的任何服务器...
freeipa
最终编辑
我在用着免费IPA定义 RBAC、HBAC 和sudo规则,以及包含几百台虚拟机的域的 SELinux 用户映射,我需要向多个团队(开发人员、数据库管理员、系统管理员、管理人员……)授予不同级别的访问权限。 目前这些机器上的 SELinux 策略设置为targeted,我正在考虑是否可以删除unconfined_uSELinux 用户,以便让这些系统在strict策略下运行。 为了做到这一点,其中一个要求是让最终用户清楚地知道他/她已从 '降级' 到unconfined_u。staff_u问题在于sudo与 SELinux 用户映射的互操作方式。以下是一...