备案控制台
探索云世界
开发者社区 安全 文章 正文

ipa-server

2017-11-25 1654
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介:

基于CentOS6.5进行IPA服务的搭建——服务端搭建及配置

http://blkart.blog.51cto.com/1142352/1413000


基于CentOS6.5进行IPA服务的搭建——客户端配置

http://blkart.blog.51cto.com/1142352/1413125


freeipa官方文档:

http://www.freeipa.org/page/Documentation

http://www.freeipa.org/page/Quick_Start_Guide

http://www.freeipa.org/page/Deployment_Recommendations






NIS账号集中管理

http://jedy82.blog.51cto.com/425872/1389051

http://dreamfire.blog.51cto.com/418026/159898/


Configure FreeIPA Server

http://www.server-world.info/en/note?os=Fedora_18&p=ipa&f=1

Configure FreeIPA Client

http://www.server-world.info/en/note?os=Fedora_18&p=ipa&f=2

Basic Operation

http://www.server-world.info/en/note?os=Fedora_18&p=ipa&f=3



freeipa的HA

https://my.oschina.net/u/142602/blog/186481



http://bananalighter.blog.51cto.com/6386339/1424564


补充:

在server端:

安装完server端后要确保可以解析client.example.com 和 ipa.example.com

[root@ipa ~]# kinit  admin

Password for admin@EXAMPLE.COM: 

[root@ipa ~]# 

[root@ipa ~]# /usr/sbin/ipa-getkeytab -s  ipa.example.com  -p host/client.example.com -k /tmp/aa.keytab                

Keytab successfully retrieved and stored in: /tmp/aa.keytab

[root@ipa ~]#

[root@ipa ~]# scp /tmp/aa.keytab  client.example.com:/root

root@192.168.181.167's password: 

aa.keytab                                  100%  322 0.3KB/s   00:00  

[root@ipa ~]# 

并在客户端做如下操作:

[root@client ~]# cp aa.keytab  /etc/krb5.keytab 

cp: overwrite `/etc/krb5.keytab'? y

[root@client ~]# 

服务端继续如下操作:

[root@ipa ~]# su - user01

[user01@ipa ~]$ 

[user01@ipa ~]$ kinit 

Password for user01@EXAMPLE.COM: 

[user01@ipa ~]$ 

[user01@ipa ~]$ 

[user01@ipa ~]$ ssh client.example.com

Last login: Thu Oct 27 19:44:30 2016 from 192.168.181.169

[user01@client ~]$  ###成功登陆


relay登录线上主机需要密码?

relay登录线上主机鉴权是走的kerberos认证,kerberos认证时需要从KDC获取一个ticket(票据),ticket有效期是24h,可以在relay上通过klist查看,有效期内登录具有权限的主机都不需要密码,ticket过期后登录时会提示需要密码,正常情况下输入relay密码可以成功登录,另外还可以通过在relay上输入"kdestroy && kinit",在提示下输入relay密码(不加动态口令),重新生成ticket,这样之后的ticket有效期内登录主机就不需要密码了。



一个博主的分享:

企业级集中身份认证及授权管理实践freeipa

http://blog.csdn.net/xuyaqun/article/details/51596018

ldap服务器搭建——sudo权限配置

http://blog.csdn.net/lclansefengbao/article/details/50442334

ldap服务器搭建——问题整理

http://blog.csdn.net/lclansefengbao/article/details/50442704

ldap服务器搭建——ldap_bind: Invalid credentials (49)错误解决

http://blog.csdn.net/lclansefengbao/article/details/50437240


ldap相关文章

http://www.120ni.com/?cate=13





freeipa的web端标签

wKioL1gcYyvRYisMAAF0knRxHsw349.png

定义用户、用户组、主机、主机组、网络组、服务和DNS这些基本信息,这些信息会在Policy中被引用。

wKiom1gcY5HR9hHDAAGQJDYYqgU493.png

这个Policy标签定义了

1、Host Based Access Control(定义了哪个用户【】组】可以登录哪个主机【组】)

2、Sudo  控制sudo,可以精细到用户【组】、主机【组】

3、Automount

4、Password Policies 密码策略

5、KERBEROS Ticket Policy 票据相关

6、SELinux User

7、Maps Automember


      本文转自Tenderrain 51CTO博客,原文链接:http://blog.51cto.com/tenderrain/1844856,如需转载请自行联系原作者







文章标签:
数据安全/隐私保护
网络安全
网络协议
技术小胖子
目录
相关文章
YiShier
|
6月前
|
Java 应用服务中间件 nginx
Server
Server
YiShier
28 0
玄学酱
|
OLTP
第 22 章 Server
玄学酱
1031 0
玄学酱
|
NoSQL 关系型数据库 Shell
7.3. s_server / s_client
玄学酱
1795 0
nkbai
|
网络协议 区块链
p2p_server
以太坊系列之十九 对p2p模块server的理解 type transport interface { // The two handshakes. doEncHandshake(prv *ecdsa.
nkbai
960 0
技术小阿哥
|
网络协议
Dedicate Server 与 Shared Server
技术小阿哥
1179 0
技术小阿哥
|
Windows
Window Server 2016 Server Core
技术小阿哥
1395 0
技术小美
|
安全
server及worstation服务
技术小美
886 0
余二五
|
网络协议 Shell 数据安全/隐私保护
安装ipa-server
余二五
2909 0
技术小胖子
|
Windows 安全
关于Exchang server 2010 MCITP
技术小胖子
1053 0
技术小胖子
|
Linux 开发工具 Shell
server7
技术小胖子
1141 0