Freeipa Client Installation

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen

Erstellen der Kerberos-Konfiguration (/etc/krb5.conf)

  • Der Installer erstellt die Kerberos-Konfigurationsdatei und fügt die notwendigen Einstellungen hinzu, wie den Realm-Namen und den KDC-Server (Key Distribution Center).
  • Diese Datei ermöglicht die Kerberos-Authentifizierung im Netzwerk.

Integration des SSH-Servers in FreeIPA

  • Der Server wird der FreeIPA-Domäne beitreten und im LDAP-Verzeichnis als Host eingetragen.
  • FreeIPA generiert dafür einen Host-Eintrag und speichert diesen im Verzeichnis.
  • Ein Kerberos-Schlüssel für diesen Server wird erstellt und zur Authentifizierung in einer Keytab-Datei (/etc/krb5.keytab) gespeichert.
  • Diese Datei wird für die automatische Anmeldung des Servers bei Kerberos verwendet.

Konfiguration von SSSD (System Security Services Daemon)

  • Der Installer konfiguriert den SSSD-Dienst, um Benutzer- und Gruppendaten vom FreeIPA-Server abzurufen.
  • Dadurch können sich die Benutzer des FreeIPA-Servers am SSH-Server authentifizieren.
  • Der SSSD übernimmt die Aufgabe, Benutzerdaten und Berechtigungen vom FreeIPA-Server zu beziehen.
  • Dadurch ist eine einheitliche Verwaltung von Benutzern, Gruppen und Berechtigungen möglich.

Anpassen der NSS- und PAM-Konfiguration

  • Der Installer modifiziert die NSS (Name Service Switch) und PAM (Pluggable Authentication Modules) Konfigurationen auf dem Server.
  • Diese Anpassungen ermöglichen die Nutzung des FreeIPA-Verzeichnisses für die Authentifizierung und die Benutzerverwaltung.
  • Mit --mkhomedir wird zudem konfiguriert, dass bei der ersten Anmeldung eines Benutzers automatisch ein Home-Verzeichnis erstellt wird.

Einstellungen der SSH-Server-Konfiguration

  • Der Installer passt die SSH-Konfiguration an, um die Kerberos-Authentifizierung zu ermöglichen.
  • Die notwendigen Einstellungen (KerberosAuthentication yes und GSSAPIAuthentication yes) werden in der Datei /etc/ssh/sshd_config hinzugefügt, wenn sie noch nicht vorhanden sind.
  • Dadurch kann später der passwortlose Zugriff mithilfe von Kerberos auf den SSH-Server erfolgen.

Registrierung des Servers in FreeIPA

  • Der Server wird in der FreeIPA-Domäne registriert.
  • Das bedeutet, dass er als vertrauenswürdiger Host im FreeIPA-System erkannt wird.
  • Es wird ein Computer-Account im FreeIPA-Verzeichnis erstellt, der den SSH-Server eindeutig identifiziert.

Neustart der Dienste

  • Der Installer startet die relevanten Dienste (SSSD, SSH) neu, damit die neuen Konfigurationen wirksam werden.
Abgerufen von „http://wiki.ixheim.de/index.php?title=Freeipa_Client_Installation&oldid=57275