ipa-server

基于CentOS6.5進行IPA服務的搭建——服務端搭建及配置

<a href="http://blkart.blog.51cto.com/1142352/1413000" target="_blank">http://blkart.blog.51cto.com/1142352/1413000</a>

基于CentOS6.5進行IPA服務的搭建——用戶端配置

<a href="http://blkart.blog.51cto.com/1142352/1413125" target="_blank">http://blkart.blog.51cto.com/1142352/1413125</a>

freeipa官方文檔：

<a href="http://www.freeipa.org/page/Documentation" target="_blank">http://www.freeipa.org/page/Documentation</a>

<a href="http://www.freeipa.org/page/Quick_Start_Guide" target="_blank">http://www.freeipa.org/page/Quick_Start_Guide</a>

<a href="http://www.freeipa.org/page/Deployment_Recommendations" target="_blank">http://www.freeipa.org/page/Deployment_Recommendations</a>

NIS賬号集中管理

<a href="http://jedy82.blog.51cto.com/425872/1389051" target="_blank">http://jedy82.blog.51cto.com/425872/1389051</a>

http://dreamfire.blog.51cto.com/418026/159898/

Configure FreeIPA Server

<a href="http://www.server-world.info/en/note?os=Fedora_18&amp;p=ipa&amp;f=1" target="_blank">http://www.server-world.info/en/note?os=Fedora_18&amp;p=ipa&amp;f=1</a>

Configure FreeIPA Client

<a href="http://www.server-world.info/en/note?os=Fedora_18&amp;p=ipa&amp;f=2" target="_blank">http://www.server-world.info/en/note?os=Fedora_18&amp;p=ipa&amp;f=2</a>

Basic Operation

<a href="http://www.server-world.info/en/note?os=Fedora_18&amp;p=ipa&amp;f=3" target="_blank">http://www.server-world.info/en/note?os=Fedora_18&amp;p=ipa&amp;f=3</a>

freeipa的HA

https://my.oschina.net/u/142602/blog/186481

<a href="http://bananalighter.blog.51cto.com/6386339/1424564" target="_blank">http://bananalighter.blog.51cto.com/6386339/1424564</a>

補充：

在server端：

安裝完server端後要確定可以解析client.example.com 和 ipa.example.com

[root@ipa ~]# kinit  admin

Password for [email protected]: 

[root@ipa ~]# 

[root@ipa ~]# /usr/sbin/ipa-getkeytab -s  ipa.example.com  -p host/client.example.com -k /tmp/aa.keytab                

Keytab successfully retrieved and stored in: /tmp/aa.keytab

[root@ipa ~]#

[root@ipa ~]# scp /tmp/aa.keytab  client.example.com:/root

[email protected]'s password: 

aa.keytab                                  100%  322 0.3KB/s   00:00  

并在用戶端做如下操作：

[root@client ~]# cp aa.keytab  /etc/krb5.keytab 

cp: overwrite `/etc/krb5.keytab'? y

[root@client ~]# 

服務端繼續如下操作：

[root@ipa ~]# su - user01

[user01@ipa ~]$ 

[user01@ipa ~]$ kinit 

Password for [email protected]: 

[user01@ipa ~]$ ssh client.example.com

Last login: Thu Oct 27 19:44:30 2016 from 192.168.181.169

[user01@client ~]$  ###成功登陸

relay登入線上主機鑒權是走的kerberos認證，kerberos認證時需要從KDC擷取一個ticket（票據），ticket有效期是24h，可以在relay上通過klist檢視，有效期内登入具有權限的主機都不需要密碼，ticket過期後登入時會提示需要密碼，正常情況下輸入relay密碼可以成功登入，另外還可以通過在relay上輸入"kdestroy &amp;&amp; kinit"，在提示下輸入relay密碼（不加動态密碼），重新生成ticket，這樣之後的ticket有效期内登入主機就不需要密碼了。

一個部落客的分享：

<a href="http://blog.csdn.net/xuyaqun/article/details/51596018" target="_blank">企業級集中身份認證及授權管理實踐freeipa</a>

<a href="http://blog.csdn.net/xuyaqun/article/details/51596018" target="_blank">http://blog.csdn.net/xuyaqun/article/details/51596018</a>

<a href="http://blog.csdn.net/lclansefengbao/article/details/50442334" target="_blank">ldap伺服器搭建——sudo權限配置</a>

<a href="http://blog.csdn.net/lclansefengbao/article/details/50442334" target="_blank">http://blog.csdn.net/lclansefengbao/article/details/50442334</a>

<a href="http://blog.csdn.net/lclansefengbao/article/details/50442704" target="_blank">ldap伺服器搭建——問題整理</a>

<a href="http://blog.csdn.net/lclansefengbao/article/details/50442704" target="_blank">http://blog.csdn.net/lclansefengbao/article/details/50442704</a>

<a href="http://blog.csdn.net/lclansefengbao/article/details/50437240" target="_blank">ldap伺服器搭建——ldap_bind: Invalid credentials (49)錯誤解決</a>

<a href="http://blog.csdn.net/lclansefengbao/article/details/50437240" target="_blank">http://blog.csdn.net/lclansefengbao/article/details/50437240</a>

ldap相關文章

http://www.120ni.com/?cate=13

freeipa的web端标簽

<a href="http://s3.51cto.com/wyfs02/M02/89/C9/wKioL1gcYyvRYisMAAF0knRxHsw349.png" target="_blank"></a>

定義使用者、使用者組、主機、主機組、網絡組、服務和DNS這些基本資訊，這些資訊會在Policy中被引用。

<a href="http://s1.51cto.com/wyfs02/M02/89/CC/wKiom1gcY5HR9hHDAAGQJDYYqgU493.png" target="_blank"></a>

這個Policy标簽定義了

1、Host Based Access Control（定義了哪個使用者【】組】可以登入哪個主機【組】）

2、Sudo  控制sudo，可以精細到使用者【組】、主機【組】

3、Automount

4、Password Policies 密碼政策

5、KERBEROS Ticket Policy 票據相關

6、SELinux User

7、Maps Automember

本文轉自 Tenderrain 51CTO部落格，原文連結:http://blog.51cto.com/tenderrain/1844856