介绍

FreeIPA可以快速、便捷的将linux系统接入，进行统一的身份认证和权限管理。

FreeIPA 是Linux的开源安全解决方案，提供帐户管理和集中身份验证，类似于Microsoft的Active Directory。FreeIPA构建于多个开源项目之上，包括389 Directory Server，MIT Kerberos和SSSD。

我们在实际使用过程中，会有一些已经预建的用户，那就需要将这部分用户同步到FreeIPA中。同时，对于在FreeIPA中新建的用户，我们也需要将其同步到其他服务器中，并创建对应的用户根目录。本文主要介绍如何将本地用户同步到FreeIPA及用户同步到其他服务器，并创建用户根目录。关于FreeIPA如何安装和部署，请参考《使用FreeIPA对Linux用户权限统一管理》，《部署带有DNS的FreeIPA服务端》

测试环境

一台FreeIPA Server服务器，版本为4.6.6

一台CDP-DC服务器，上面已经部署了FreeIPA客户端，客户端版本为：4.6.6

两台服务器操作系统：RELS7.7

同步本地用户到FreeIPA服务端

FreeIPA客户端切换到admin

[root@ip-10-0-0-214 ~]# kinit adminPassword for admin@AP-SOUTHEAST-1.COMPUTE.INTERNAL: [root@ip-10-0-0-214 ~]# klistTicket cache: FILE:/tmp/krb5cc_0Default principal: admin@AP-SOUTHEAST-1.COMPUTE.INTERNAL

Valid starting Expires Service principal06/09/2020 00:48:19 06/10/2020 00:48:15 krbtgt/AP-SOUTHEAST-1.COMPUTE.INTERNAL@AP-SOUTHEAST-1.COMPUTE.INTERNAL renew until 06/16/2020 00:48:15

编写本地用户同步脚本并保存

使用编辑器将下面的代码复制到文件中，保存成sh.

#!/bin/bashfor line in `grep "x:[5-9][0-9][0-9]:" /etc/passwd`do USER=`echo $line | cut -d: -f1` FIRST=`echo $line | cut -d: -f5 | awk {'print $1'}` LAST=`echo $line | cut -d: -f5 | awk {'print $2'}` if [ ! "$FIRST" ] then FIRST=$USER fi if [ ! "$LAST" ] then LAST=$USER fi echo $USER | ipa user-add $USER --first=$FIRST --last=$LAST --passworddone

查询本地用户

通过cat /etc/passwd查看本地用户

通过shell执行上述脚本，导入用户

sh inputuser.sh

检查用户

Kerberos系统查看用户

进入FreeIPA server端，查看Kerberos系统中的用户

[root@ip-10-0-0-170 ~]# kadmin.localAuthenticating as principal admin/admin@AP-SOUTHEAST-1.COMPUTE.INTERNAL with password.kadmin.local: listprincsadmin@AP-SOUTHEAST-1.COMPUTE.INTERNALK/M@AP-SOUTHEAST-1.COMPUTE.INTERNALkrbtgt/AP-SOUTHEAST-1.COMPUTE.INTERNAL@AP-SOUTHEAST-1.COMPUTE.INTERNALkadmin/ip-10-0-0-170.ap-southeast-1.compute.internal@AP-SOUTHEAST-1.COMPUTE.INTERNALkadmin/admin@AP-SOUTHEAST-1.COMPUTE.INTERNALkadmin/changepw@AP-SOUTHEAST-1.COMPUTE.INTERNALkiprop/ip-10-0-0-170.ap-southeast-1.compute.internal@AP-SOUTHEAST-1.COMPUTE.INTERNALldap/ip-10-0-0-170.ap-southeast-1.compute.internal@AP-SOUTHEAST-1.COMPUTE.INTERNAL

其中红色标注部分都是刚才导入的本地用户。

FreeIPA查看用户

通过浏览器访问FreeIPA UI，查看用户：

从UI中可以看到，里面的很多用户都是刚刚从本地同步过来的用户。

FreeIPA用户同步到客户端服务器

在RedHat的图中并没有列出SSSD，它不属于IPAServer，而是属于IPAClient。它主要用于Linux系统用户管理。

我们知道，当我们使用useradd命令去创建一个用户的时候，会在linux的/etc/passwd文件记录下来。但是使用freeipa创建的用户，其信息并不保存在/etc/passwd，而是保存在DS的数据库中。那它是如何进行工作的呢?

Linux有一个配置文件

[root@hdp136 ~]# cat /etc/nsswitch.conf... passwd: files sss...

这个配置文件中的files就是指linux的本地文件，如/etc/passwd，而sss则是指的Linux中的一个内核进程：

[root@hdp136 ~]# service sssd statussssd (pid 1799) is running...

而我们使用用户登录到linux系统中时，其流程如下：

需要注意的是sssd本身是有缓存的，它不会时时去到ldap服务器查询用户信息，因此我们也不必要担心网络导致登录很慢。

SSSD日志配置

SSSD如果需要修改日志级别，可以如下修改：

[root@hdfs142 sssd]# vi /etc/sssd/sssd.conf

[domain/example.com]

cache_credentials = Truedebug_level = 9 ---修改这个值然后重启sssd

然后重启相应的sssd，即可以在/var/log/ssssd/ ldap_child.log查看到详细的说明

验证

1. 在FreeIPA的UI上创建一个测试用户test：

点击添加后，通过活跃用户的管理页面搜索可以看到test用户

客户端验证

进入到FreeIPA的客户端机器，从root用户切换到test用户

执行cd退回到根目录报错，显示没有对应的命令。

执行ls操作，报没有权限的错误。

这是因为我们没有设置自动创建用户根目录造成的。

接下来我们进行Kerberos认证：

可见用户已经同步到了Kerberos系统中。

自动创建根目录配置

修改客户端配置文件：

i /etc/pam.d/system-auth# add if you need ( create home directory automatically if it's none )session optional pam_mkhomedir.so skel=/etc/skel umask=077

重启oddjobd服务并设置为自动启动

systemctl start oddjobd #启动服务systemctl enable oddjobd

验证用户根目录是否存在

切换到test用户继续验证：

大家可以看到，在oddjobd服务重启后，系统已经自动创建了test用户的根目录并可以访问。

总结

通过FreeIPA可以方便的管理本地用户和服务器用户的同步及管理。