FreeIPA 是一个强大的开源身份管理系统，提供集中的身份验证、授权和计费服务。在本文中，我们将逐步介绍在 Ubuntu 22.04 / 20.04 上配置 FreeIPA 客户端的步骤。配置 FreeIPA 客户端后，我们将尝试使用在 FreeIPA 服务器上创建的用户登录。

在 FreeIPA 服务器上创建用户进行集中认证

登录到你的 FreeIPA 服务器并创建一个名为 sysadm 的用户，运行以下命令:

1. $ sudo kinit admin

2. Password for admin@LINUXTECHI.LAN:

3. $

4. $ sudo ipa config-mod --defaultshell=/bin/bash

5. $ sudo ipa user-add sysadm --first=System --last=Admin --password

6. Password:

7. Enter Password again to verify:

8. -------------------

9. Added user "sysadm"

10. -------------------

11. User login: sysadm

12. First name: System

13. Last name: Admin

14. Full name: System Admin

15. Display name: System Admin

16. Initials: SA

17. Home directory: /home/sysadm

18. GECOS: System Admin

19. Login shell: /bin/bash

20. Principal name: sysadm@LINUXTECHI.LAN

21. Principal alias: sysadm@LINUXTECHI.LAN

22. User password expiration: 20230415073041Z

23. Email address: sysadm@linuxtechi.lan

24. UID: 464600003

25. GID: 464600003

26. Password: True

27. Member of groups: ipausers

28. Kerberos keys available: True

29. $

第一个命令是获取 Kerberos 凭证，第二个命令将所有用户的默认登录 shell 设置为 /bin/bash，第三个命令用于创建名为 sysadm 的用户。

在 Ubuntu 22.04 /20.04 上配置 FreeIPA 客户端的步骤

执行以下步骤来配置 FreeIPA 客户端以进行集中身份验证。

1、在 FreeIPA 服务器上添加 Ubuntu 系统的 DNS 记录

登录到你的 FreeIPA 服务器并运行以下命令为 FreeIPA 客户端（即 Ubuntu 22.04/20.04）添加 DNS 记录：

1. $ sudo ipa dnsrecord-add linuxtechi.lan app01.linuxtechi.lan --a-rec 192.168.1.106

2.   Record name: app01.linuxtechi.lan

3.   A record: 192.168.1.106

4. $

在上面的命令中，app01.linuxtechi.lan 是我的 Ubuntu 系统，IP 地址为 192.168.1.106。

注意：确保你的 FreeIPA 服务器和客户端处于同一时区并从 NTP 服务器获取时间。

2、安装 FreeIPA 客户端包

从你的 Ubuntu 系统运行以下命令以安装 freeipa-client 以及依赖项：

1. $ sudo apt install freeipa-client oddjob-mkhomedir -y

在安装 freeipa-client 时，我们将看到以下页面，选择确定并回车。

在下一个屏幕中，按回车键跳过。

3、在主机文件中添加 FreeIPA 服务器 IP 和主机名

在 /etc/hosts 文件中添加以下 FreeIPA 服务器条目：

1. $ echo "192.168.1.102 ipa.linuxtechi.lan ipa" | sudo tee -a /etc/hosts

2. $ echo "192.168.1.106 app01.linuxtechi.lan app01" | sudo tee -a /etc/hosts

更改适合你的设置的 IP 地址和主机名。

4、使用 ipa-client-install 配置 FreeIPA 客户端

现在运行以下 ipa-client-install 命令在你的 Ubuntu 系统上配置 FreeIPA 客户端：

1. $ sudo ipa-client-install --hostname=`hostname -f` --mkhomedir --server=ipa.linuxtechi.lan --domain linuxtechi.lan --realm LINUXTECHI.LAN

更改适合你设置的 FreeIPA 服务器地址、域名和领域。

上述命令的输出如下所示：

完美，上面的输出确认 FreeIPA 客户端安装成功。

现在允许在用户首次使用 FreeIPA 服务器进行身份验证时自动创建用户的主目录。

在文件 /usr/share/pam-configs/mkhomedir 中添加以下行：

1. required pam_mkhomedir.so umask=0022 skel=/etc/skel

1. $ echo "required pam_mkhomedir.so umask=0022 skel=/etc/skel" | sudo tee -a /usr/share/pam-configs/mkhomedir

要使上述更改生效，请运行以下命令：

1. $ sudo pam-auth-update

选择确定，然后按回车键。

5、尝试使用 sysadm 用户登录到你的 Ubuntu 系统

尝试使用 sysadm 用户通过 SSH 登录到你的 Ubuntu 系统，

1. $ ssh sysadm@192.168.1.106

太好了，上面的输出确认我们已经使用集中用户成功登录到我们的 Ubuntu 系统。这也说明我们已经成功配置了 FreeIPA 客户端。

如果你想从 ubuntu 系统中卸载 FreeIPA，然后运行以下命令集：

1. $ sudo ipa-client-install --uninstall

2. $ sudo  rm -rf /var/lib/sss/db/*

3. $ sudo systemctl restart sssd.service