FreeIPA是一个集成安全信息管理解决方案,FreeIPA服务器通过存储管理计算机网络安全方面所需的用户、组、主机和其他对象的数据,提供集中的身份验证、授权和账户信息。结合了LinuxDirectory ServerMIT KerberosNTPDNSDogtag(认证系统)。它由Web界面和命令行管理工具组成。类似于windows中的AD域

环境准备

IP hostname 系统 用途
192.168.48.128 freeipa.bigdata-heboan.com CentOS7.4 服务端
192.168.48.129 client01.bigdata-heboan.com CentOS7.4 客户端 
systemctl stop firewalld.service

systemctl disable firewalld.service

setenforce

vi /etc/selinux/conf

    设置SELINUX=disabled

关防火墙和selinux

安装配置ipa-server (freeipa.bigdata-heboan.com )

①安装ipa-server

yum install ipa-server bind bind-dyndb-ldap ipa-server-dns

②配置ipa-server

[root@freeipa ~]# ipa-server-install --setup-dns
Server host name [server.test.co]:     ---回车键(默认)

Please confirm the domain name [test.co]:    ---回车键(默认)

Please provide a realm name [TEST.CO]:  ---回车键(默认)

Directory Manager password:   ---设置目录管理的密码 最少是8位

IPA admin password:  ---设置ipa 管理员admin的密码 最少8位 一定要记住,后面要用到

Do you want to configure DNS forwarders? [yes]: no ---你想配置dns为转发器吗? 选择no

Do you want to search for missing reverse zones? [yes]: yes --你想配置dns的反向域吗?选择yes

Continue to configure the system with these values? [no]: yes --继续配置系统其他的值? 选择yes

验证ipa-server

[root@freeipa ~]# kinit admin

Password for admin@BIGDATA-HEBOAN.COM:

[root@freeipa ~]# ipa user-find --all

浏览器访问https://freeipa.bigdata-heboan.com/ipa/ui

部署客户端(client01.bigdata-hebona.com)

①修改客户端的DNS(网卡的配置),然后重启网络

DNS1=192.168.48.128   #指向freeipa server

DNS2=114.114.114.114

②安装ipa-client

yum install -y ipa-client

②配置 client加入域

[root@client01 ~]# ipa-client-install --domain=bigdata-heboan.com --no-ntp --realm=BIGDATA-HEBOAN.COM –-mkhomedir
然后根据提示输入对应设置

Continue to configure the system with these values? [no]: yes ---继续配置系统其他的值? 选择yes

User authorized to enroll computers: admin ---域管理员

Password for admin@BIGDATA-HEBOAN.COM: ---密码

在web ui上可以看到客户端已经加进来了

基本使用

①添加一个用户

②策略---HBAC规则,删除默认规则

添加一条规则

现在在任意一台主机上使用heboan账号远程 client01.bigdata-heboan.com

ssh可以正常登录了,试试sudo, 居然提示说不允许

目前用户heboan只是一个普通用户的权限,并不能使用sudo命令,如果想使用sudo提权,还是需要配置sudo规则

注意,配置sudo规则后,并不会实时生效,默认会读取缓存,该缓存每15分钟增量更新一次,如果想实时生效,可以修改客户端/etc/sssd/sssd.conf

//增加以下两行

ladb_sudo_full_refresh_interval =

ladp_sudo_smart_refresh_interval = 

//重启sssd服务

systemctl restart sssd

再次尝试执行 sudo

FreeIPA常用命令

启动、停止、检查IPA服务

ipactl [-f] start/stop/status 

注:-f表示强制执行,可忽略由于某一服务启动失败导致整体启动失败的问题

显示replica列表

ipa-replica-manage list 

注:完整的命令为ipa-replica-manage [OPTION]… [connect|disconnect|del|list|re-initialize|force-sync]

备份数据

ipa-backup –data –online

默认备份位置为/var/lib/ipa/backup/

恢复数据

ipa-restore –online /var/lib/ipa/backup/ipa-data-/

FreeIPA部署及基本使用的更多相关文章

  1. 安装FreeIPA以及应用时报错汇总

    安装FreeIPA以及应用时报错汇总 作者:尹正杰 版权声明:原创作品,谢绝转载!否则将追究法律责任. 一.ERROR DNS zone yinzhengjie.org.cn already exis ...

  2. Hadoop生态圈-使用FreeIPA安装Kerberos和LDAP

    Hadoop生态圈-使用FreeIPA安装Kerberos和LDAP 作者:尹正杰 版权声明:原创作品,谢绝转载!否则将追究法律责任. 有些大数据平台只是简单地通过防火墙来解决他们的网络安全问题.十分 ...

  3. [原]CentOS7.2部署node-mapnik

    转载请注明表作者think8848及出处(http://think8848.cnblogs.com) node-mapnik依赖项中要求g++ >= 5, toolchain (>= GL ...

  4. 使用Visual Studio 2015 开发ASP.NET MVC 5 项目部署到Mono/Jexus

    最新的Mono 4.4已经支持运行asp.net mvc5项目,有的同学听了这句话就兴高采烈的拿起Visual Studio 2015创建了一个mvc 5的项目,然后部署到Mono上,浏览下发现一堆错 ...

  5. 通过Jexus 部署 dotnetcore版本MusicStore 示例程序

    ASPNET Music Store application 是一个展示最新的.NET 平台(包括.NET Core/Mono等)上使用MVC 和Entity Framework的示例程序,本文将展示 ...

  6. 结合Jexus + Kestrel 部署 asp.net core 生产环境

    ASP.NET Core 是微软的全新的框架.这一框架的目标 ︰ 跨平台 针对云应用优化 解除 System.Web 的依赖. 获得下面三个方面的优势,你可以把它认为是一个C# 版本的NodeJS: ...

  7. 4.Windows Server2012 R2里面部署 MVC 的网站

    网站部署之~Windows Server | 本地部署:http://www.cnblogs.com/dunitian/p/4822808.html#iis 后期会在博客首发更新:http://dnt ...

  8. Win10 IIS本地部署MVC网站时不能运行?

    异常处理汇总-服 务 器 http://www.cnblogs.com/dunitian/p/4522983.html 部署后出现这个错误: 打开文件目录后发现是可以看见目录的,静态页面也是可以打开的 ...

  9. 再部署一个 instance 和 Local Network - 每天5分钟玩转 OpenStack(131)

    上一节部署了 cirros-vm1 到 first_local_net,今天我们将再部署 cirros-vm2 到同一网络,并创建 second_local_net. 连接第二个 instance 到 ...

随机推荐

  1. PID221 / 烦人的幻灯片☆ x

    超详细解释!我都被我自己惊呆了! (这个题目意思我缓冲了很久!一定要读懂题!否则做不出来) 题目不懂就多读呀~ 提交你的代码 查看讨论和题解 题目描述 李教授于今天下午做一个非常重要的演讲.不幸的是他 ...

  2. input样式去掉苹果手机的默认样式

    /*<!---->去掉苹果短的样式*/ input[type="button"], input[type="submit"], input[type ...

  3. sqli-labs(30)

    0X01 观摩源码 和29关没区别 只是这里闭合变成了“ 0X02构造语句 爆库名 ?id=&id=-"union select 1,database(),3%23 0X03组合拳打 ...

  4. redis的安装及使用总结

    Windows版本的安装 下载地址:https://www.jb51.net/softs/541181.html 安装过程 把压缩包内的文件解压到非中文目录即可 启动redis 启动redis要通过命 ...

  5. QPS、TPS、PV、UV、GMV、IP、RPS

    摘自:https://www.citrons.cn/jishu/226.html 关于 QPS.TPS.PV.UV.GMV.IP.RPS 这些词语,看起来好像挺专业.但实际上,我认为是这是每个程序员必 ...

  6. DB2创建视图并授权给其他用户

    创建视图并授权给其他用户 可以在操作系统界面.或者DB2交互界面下进行数据库操作 查看数据库节点[db2inst1@ELONEHR-DB ~]$ db2 list db directory Syste ...

  7. Selenium学习之==>WebDriver驱动对照表

    转自www.imdsx.cn 1.Chrome 对于chrome浏览器,有时候会有闪退的情况,也许是版本冲突的问题,我们要对照着这个表来对照查看是不是webdriver和chrome版本不对. chr ...

  8. 中国MOOC_零基础学Java语言_第1周 计算_第1周编程题_1温度转换

    第1周编程题 依照学术诚信条款,我保证此作业是本人独立完成的. 温馨提示: 1.本次作业属于Online Judge题目,提交后由系统即时判分. 2.学生可以在作业截止时间之前不限次数提交答案,系统将 ...

  9. oracle-不完全数据库恢复-被动恢复-ORA-00313/ORA-00366

    继上一篇不完全恢复 oracle-不完全数据库恢复-被动恢复-ORA-00313/ORA-00366 场景2:数据库拥有备份,CURRENT状态日志组中所有的在线日志头损坏,在发生日志切换时实例被自动 ...

  10. element_to_be_clickable(locator)

    是等待页面元素可见的时候操作,会设置一定范围的时间,如果在时间范围内,元素可见,就 执行操作,元素不可见,就会引发TimeoutException的异常.如下是element_to_be_clicka ...