linux ipa 权限管理,FreeIPA管理本地用户
介绍
FreeIPA可以快速、便捷的将linux系统接入,进行统一的身份认证和权限管理。
FreeIPA 是Linux的开源安全解决方案,提供帐户管理和集中身份验证,类似于Microsoft的Active Directory。FreeIPA构建于多个开源项目之上,包括389 Directory Server,MIT Kerberos和SSSD。
我们在实际使用过程中,会有一些已经预建的用户,那就需要将这部分用户同步到FreeIPA中。同时,对于在FreeIPA中新建的用户,我们也需要将其同步到其他服务器中,并创建对应的用户根目录。本文主要介绍如何将本地用户同步到FreeIPA及用户同步到其他服务器,并创建用户根目录。关于FreeIPA如何安装和部署,请参考《使用FreeIPA对Linux用户权限统一管理》,《部署带有DNS的FreeIPA服务端》
测试环境
一台FreeIPA Server服务器,版本为4.6.6
一台CDP-DC服务器,上面已经部署了FreeIPA客户端,客户端版本为:4.6.6
两台服务器操作系统:RELS7.7
同步本地用户到FreeIPA服务端
FreeIPA客户端切换到admin
[root@ip-10-0-0-214 ~]# kinit adminPassword for admin@AP-SOUTHEAST-1.COMPUTE.INTERNAL: [root@ip-10-0-0-214 ~]# klistTicket cache: FILE:/tmp/krb5cc_0Default principal: admin@AP-SOUTHEAST-1.COMPUTE.INTERNAL
Valid starting Expires Service principal06/09/2020 00:48:19 06/10/2020 00:48:15 krbtgt/AP-SOUTHEAST-1.COMPUTE.INTERNAL@AP-SOUTHEAST-1.COMPUTE.INTERNAL renew until 06/16/2020 00:48:15
编写本地用户同步脚本并保存
使用编辑器将下面的代码复制到文件中,保存成sh.
#!/bin/bashfor line in `grep "x:[5-9][0-9][0-9]:" /etc/passwd`do USER=`echo $line | cut -d: -f1` FIRST=`echo $line | cut -d: -f5 | awk {'print $1'}` LAST=`echo $line | cut -d: -f5 | awk {'print $2'}` if [ ! "$FIRST" ] then FIRST=$USER fi if [ ! "$LAST" ] then LAST=$USER fi echo $USER | ipa user-add $USER --first=$FIRST --last=$LAST --passworddone
查询本地用户
通过cat /etc/passwd查看本地用户
通过shell执行上述脚本,导入用户
sh inputuser.sh
检查用户
Kerberos系统查看用户
进入FreeIPA server端,查看Kerberos系统中的用户
[root@ip-10-0-0-170 ~]# kadmin.localAuthenticating as principal admin/admin@AP-SOUTHEAST-1.COMPUTE.INTERNAL with password.kadmin.local: listprincsadmin@AP-SOUTHEAST-1.COMPUTE.INTERNALK/M@AP-SOUTHEAST-1.COMPUTE.INTERNALkrbtgt/AP-SOUTHEAST-1.COMPUTE.INTERNAL@AP-SOUTHEAST-1.COMPUTE.INTERNALkadmin/ip-10-0-0-170.ap-southeast-1.compute.internal@AP-SOUTHEAST-1.COMPUTE.INTERNALkadmin/admin@AP-SOUTHEAST-1.COMPUTE.INTERNALkadmin/changepw@AP-SOUTHEAST-1.COMPUTE.INTERNALkiprop/ip-10-0-0-170.ap-southeast-1.compute.internal@AP-SOUTHEAST-1.COMPUTE.INTERNALldap/ip-10-0-0-170.ap-southeast-1.compute.internal@AP-SOUTHEAST-1.COMPUTE.INTERNAL
其中红色标注部分都是刚才导入的本地用户。
FreeIPA查看用户
通过浏览器访问FreeIPA UI,查看用户:
从UI中可以看到,里面的很多用户都是刚刚从本地同步过来的用户。
FreeIPA用户同步到客户端服务器
在RedHat的图中并没有列出SSSD,它不属于IPAServer,而是属于IPAClient。它主要用于Linux系统用户管理。
我们知道,当我们使用useradd命令去创建一个用户的时候,会在linux的/etc/passwd文件记录下来。但是使用freeipa创建的用户,其信息并不保存在/etc/passwd,而是保存在DS的数据库中。那它是如何进行工作的呢?
Linux有一个配置文件
[root@hdp136 ~]# cat /etc/nsswitch.conf... passwd: files sss...
这个配置文件中的files就是指linux的本地文件,如/etc/passwd,而sss则是指的Linux中的一个内核进程:
[root@hdp136 ~]# service sssd statussssd (pid 1799) is running...
而我们使用用户登录到linux系统中时,其流程如下:
需要注意的是sssd本身是有缓存的,它不会时时去到ldap服务器查询用户信息,因此我们也不必要担心网络导致登录很慢。
SSSD日志配置
SSSD如果需要修改日志级别,可以如下修改:
[root@hdfs142 sssd]# vi /etc/sssd/sssd.conf
[domain/example.com]
cache_credentials = Truedebug_level = 9 ---修改这个值然后重启sssd
然后重启相应的sssd,即可以在/var/log/ssssd/ ldap_child.log查看到详细的说明
验证
1. 在FreeIPA的UI上创建一个测试用户test:
点击添加后,通过活跃用户的管理页面搜索可以看到test用户
客户端验证
进入到FreeIPA的客户端机器,从root用户切换到test用户
执行cd退回到根目录报错,显示没有对应的命令。
执行ls操作,报没有权限的错误。
这是因为我们没有设置自动创建用户根目录造成的。
接下来我们进行Kerberos认证:
可见用户已经同步到了Kerberos系统中。
自动创建根目录配置
修改客户端配置文件:
i /etc/pam.d/system-auth# add if you need ( create home directory automatically if it's none )session optional pam_mkhomedir.so skel=/etc/skel umask=077
重启oddjobd服务并设置为自动启动
systemctl start oddjobd #启动服务systemctl enable oddjobd
验证用户根目录是否存在
切换到test用户继续验证:
大家可以看到,在oddjobd服务重启后,系统已经自动创建了test用户的根目录并可以访问。
总结
通过FreeIPA可以方便的管理本地用户和服务器用户的同步及管理。
linux ipa 权限管理,FreeIPA管理本地用户相关推荐
- 计算机管理器为什么没有本地用户和组,windows7系统服务器管理器没有“本地用户和组”选项解决方法...
本地用户和组功能可以分配本地用户帐户或组帐户的权限和权利.win7系统点击"计算机"图标右键"管理"来打开"计算机管理"中的"本地 ...
- win8计算机管理没本地用户和组,win7系统服务器管理器没有本地用户和组选项怎么办?...
win7系统服务器管理器没有"本地用户和组"选项怎么办? 具体方法如下: 1.出现这种情况一般是组策略做限制了,打开运行gpedit.msc打开组策略编辑器; 2.依次点击,用户设 ...
- linux ipa 权限管理,FreeIPA增加Linux用户及sudo权限
# 1 用户组 > FreeIPA默认有admins.editors.ipausers.trust admins用户组,这里单独创建一个用户组. ``` [root@ipa1 ~]# kinit ...
- Linux学习笔记28——Linux的权限与密码管理机制
要登陆 Linux 系统一定要有帐号与密码才行,否则怎么登陆,您说是吧?不过, 不同的使用者应该要拥有不同的权限才行吧?我们还可以通过 user/group 的特殊权限设置, 来规范出不同的群组开发专 ...
- 计算机没有用户管理,计算机管理没有本地用户和组怎么解决
解决方法:1.桌面中,右击"开始"按钮,选择"运行":2.在运行窗口中,输入"mmc"命令,回车:3.点击"文件"-&q ...
- Linux系统升级sudo版本来解决本地用户获得 root 权限
Qualys的安全研究人员发现了名为"Baron Samedit"(CVE-2021-3156)的 Sudo 权限升级漏洞,该漏洞研究人员于1月13日披露了此漏洞,此漏洞产生的原因 ...
- linux赋权限命令chmod给其他用户,Linux 基础基础——权限管理命令chmod
一.Linux中的文件权限与目录权限 Linux中定义了3种访问权限,分别是r.w.x.其中r表示对象是可读的,w表示对象是可写的,x表示对象是可执行的,这3种权限组成一组rwx分别对应对象的3个安全 ...
- 【Linux学习记录】Linux文件属性权限、目录管理
1.linux 文件属性 r:4 w:2 x:1 rwz表示可读可写可执行 [root@vbird ~]# ls -al #列出所有的文件包括隐藏文件 下面显示的内容中第一个字符表示该文件为什么属性 ...
- linux telnet 权限,允许telnet 通过root用户进行访问
允许telnet 通过root用户进行访问 RHEL6: [root@clovem ~]# yum install telnet-server -y //安装telnet服务端 [root@clov ...
最新文章
- 分割候选区域--FastMask: Segment Multi-scale Object Candidates in One Shot
- 开发日记-20190913 关键词 汇编语言王爽版 第一章
- 2017-2018-1 20155202 《信息安全系统设计基础》第10周学习总结
- FreeMarker 语法 include 引用模板
- 数据结构和算法分析:第二章 算法分析
- iptables删除所有规则_如何解决iptables删除命令中遇到的问题
- ​​使用win7超级终端连接华为交换机并配置端口镜像
- protobuf java文档_Java中使用Protobuf
- swift3 按钮触发事件_swift5.3 UIView 与 UIButton 点击事件传递参数
- 配置环境_python虚拟环境的搭建
- Python之进程+线程+协程(生产者消费者模型)
- 编译原理 - 实验四 - yacc基本使用(bison)
- Mongodb中 Documents文档说明
- toshiba 共享文件夹_东芝打印机如何共享
- 腾讯云云服务器Centos系统安装MySQL数据库详细教程
- 机器学习数据分析极简思路及sklearn算法小试
- 控制图简明原理及Plotly实现控制图Python实践
- 【Week 15 作业A】ZJM 与霍格沃兹
- Tita OKR:反馈的重要性
- latte - 拿铁咖啡