2023年6月25日发(作者：)

FreeIPA部署及基本使⽤FreeIPA是⼀个集成安全信息管理解决⽅案，FreeIPA服务器通过存储管理计算机⽹络安全⽅⾯所需的⽤户、组、主机和其他对象的数据，提供集中的⾝份验证、授权和账户信息。结合了Linux、Directory Server、MIT Kerberos、NTP、DNS、Dogtag(认证系统)。它由Web界⾯和命令⾏管理⼯具组成。类似于windows中的AD域 环境准备系统CentOS7.4CentOS7.4⽤途服务端客户端

systemctl stop esystemctl disable esetenforce 0vi /etc/selinux/conf 设置SELINUX=disabled关防⽕墙和selinux

安装配置ipa-server ( )①安装ipa-serveryum install ipa-server bind bind-dyndb-ldap ipa-server-dns②配置ipa-server[root@freeipa ~]# ipa-server-install --setup-dnsServer host name []: ---回车键（默认）Please confirm the domain name []: ---回车键（默认）Please provide a realm name []: ---回车键（默认）Directory Manager password: ---设置⽬录管理的密码 最少是8位IPA admin password: ---设置ipa 管理员admin的密码 最少8位 ⼀定要记住，后⾯要⽤到Do you want to configure DNS forwarders? [yes]: no ---你想配置dns为转发器吗？ 选择noDo you want to search for missing reverse zones? [yes]: yes --你想配置dns的反向域吗？选择yesContinue to configure the system with these values? [no]: yes --继续配置系统其他的值？ 选择yes 验证ipa-server[root@freeipa ~]# kinit adminPassword for admin@:

[root@freeipa ~]# ipa user-find --all 部署客户端（）①修改客户端的DNS(⽹卡的配置)，然后重启⽹络DNS1=192.168.48.128 #指向freeipa serverDNS2=114.114.114.114②安装ipa-clientyum install -y ipa-client②配置 client加⼊域[root@client01 ~]# ipa-client-install --domain= --no-ntp --realm= –-mkhomedir然后根据提⽰输⼊对应设置Continue to configure the system with these values? [no]: yes ---继续配置系统其他的值？ 选择yesUser authorized to enroll computers: admin ---域管理员Password for admin@: ---密码在web ui上可以看到客户端已经加进来了 基本使⽤①添加⼀个⽤户②策略---HBAC规则，删除默认规则添加⼀条规则现在在任意⼀台主机上使⽤heboan账号远程 可以正常登录了，试试sudo, 居然提⽰说不允许⽬前⽤户heboan只是⼀个普通⽤户的权限，并不能使⽤sudo命令，如果想使⽤sudo提权，还是需要配置sudo规则

注意，配置sudo规则后，并不会实时⽣效，默认会读取缓存，该缓存每15分钟增量更新⼀次，如果想实时⽣效，可以修改客户端/etc/sssd///增加以下两⾏ladb_sudo_full_refresh_interval = 3600ladp_sudo_smart_refresh_interval = 30//重启sssd服务systemctl restart sssd再次尝试执⾏ sudo