RHEL8에 FreeIPA 클라이언트 설치

1. FreeIPA `服务器`에서 사용자 생성

참고: https://linux.cn/article-15806-1.html

로그인 FreeIPA服务器하고 받기ipa管理员凭证

# 获取ipa管理员凭证(Kerberos令牌)
sudo kinit admin

ipa服务器중앙 집중식 인증을 위해 사용자를 만듭니다 opsadm.

# 创建opsadm用户
## --first 名字为 "Ops"
## --last 姓氏为 "Admin"
## --password 设置密码
sudo ipa user-add opsadm --first=Ops --last=Admin --password

## 提示信息
Password:
Enter Password again to verify:
-------------------
Added user "opsadm"
-------------------
  User login: opsadm
  First name: Ops
  Last name: Admin
  Full name: Ops Admin
  Display name: Ops Admin
  Initials: OA
  Home directory: /home/opsadm
  GECOS: Ops Admin
  Login shell: /bin/bash
  Principal name: [email protected]
  Principal alias: [email protected]
  User password expiration: 20230502010113Z
  Email address: [email protected]
  UID: 464600004
  GID: 464600004
  Password: True
  Member of groups: ipausers
  Kerberos keys available: True

2. ipa 클라이언트 시스템에 대한 DNS 레코드 추가

상단 에 추가를 FreeIPA服务器위해 .ipa客户机器DNS记录

# 向FreeIPA系统中为ipa客户端机器添加DNS记录
## 向 linuxtechi.lan 域添加一个名为 rhel.linuxtechi.lan 的主机记录，
## 其 IP 地址为 192.168.1.2
sudo ipa dnsrecord-add linuxtechi.lan rhel.linuxtechi.lan --a-rec 192.168.1.2

참고: 위 명령에서 IP 주소와 호스트 이름을 자신의 이름으로 바꾸십시오 .
이미지.png

2.1 ipa 클라이언트 시스템에서 호스트 구성

이제 로그인 RHEL 客户端하고 /etc/hosts파일에 다음 항목을 추가하십시오.

192.168.1.102 ipa.linuxtechi.lan ipa
192.168.1.2   rhel.linuxtechi.lan rhel

파일을 저장하고 종료합니다.

3. 클라이언트 컴퓨터에 FreeIPA 클라이언트를 설치합니다.

FreeIPA客户端해당 종속성은 기본 패키지 리포지토리(AppStream 및 BaseOS)에서 사용할 수 있으므로 설치하려면 FreeIPA客户端다음을 실행하세요.

# 安装FreeIPA客户端
dnf install freeipa-client -y

이미지.png

4. FreeIPA 클라이언트 구성

설치가 완료되면 을 구성하고 FreeIPA客户端설정
에 따라 및 를 교체합니다 .FreeIPA服务器主机名域名领域

# 为ipa客户主机配置与FreeIPA服务器的连接，并设置主机的域名为 linuxtechi.lan，领域为 LINUXTECHI.LAN
### FreeIPA服务器为 ipa.linuxtechi.lan
### 主机的域名为 linuxtechi.lan
### 领域为 LINUXTECHI.LAN
## --hostname=$(hostname -f)：使用 hostname -f 命令获取当前主机的完全限定域名
## --mkhomedir：在用户首次登录时自动创建其主目录
## --server：指定FreeIPA服务器为 ipa.linuxtechi.lan
## --domain：设置主机的域名为 linuxtechi.lan
## --realm：设置主机的Kerberos领域为 LINUXTECHI.LAN
sudo ipa-client-install --hostname=$(hostname -f) --mkhomedir --server=ipa.linuxtechi.lan --domain linuxtechi.lan  --realm LINUXTECHI.LAN

출력:
이미지.png
완벽합니다. 위 출력은 freeipa-client명령이 성공적으로 실행되었음을 확인합니다. 테스트하려면 FreeIPA客户端集成에서 생성한 从当前用户注销사용자로 로그인해 보세요 .IPA服务器opsadm

5. FreeIPA 클라이언트 테스트

방금 구성한 FreeIPA客户端RHEL 시스템을 사용하여 opsadmSSH를 통해 로그인해 보세요.

# 使用新创建的opsadm用户登录ipa客户端机器
ssh opsadm@<IPA-client>

이미지.png

5.1 최초 로그인 시 비밀번호 변경

그렇게 하면 第一次登录系统비밀번호 만료 정책으로 인해 새 비밀번호를 설정하라는 메시지가 표시됩니다.
비밀번호를 변경한 후 다시 로그인해 보세요. 이번에는 로그인할 수 있어야 합니다.
이미지.png
좋습니다. 위 출력은 opsadm사용자를 사용하여 로그인할 수 있음을 확인합니다. 이는 FreeIPA 클라이언트가 성공적으로 설치 및 구성되었음을 확인합니다.