Freeipa Projekt

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen

Ziel

  • Wir haben FreeIPA aufgesetzt.
  • Nun wollen wir folgendes umsetzen:
    • Einen SSH-Server in FreeIPA integrieren.
    • Vom Client aus ein Kerberos-Ticket abrufen.
    • Vom Client aus ohne Passwort auf den SSH-Server zugreifen.

Vorgehen

SSH-Server in FreeIPA integrieren

Melden Sie sich auf dem SSH-Server an

  • Installieren Sie das FreeIPA-Client-Paket:
    • apt install freeipa-client (für Debian/Ubuntu)
    • yum install ipa-client (für RHEL/CentOS)
  • Führen Sie den FreeIPA-Client-Installationsbefehl aus, um den Server in die FreeIPA-Domäne aufzunehmen:
    • ipa-client-install --mkhomedir --server=freeipa.lab34.linuggs.de --domain=lab34.linuggs.de
    • Befolgen Sie die Anweisungen und geben Sie die FreeIPA-Server-Domain an (z. B. lab34.linuggs.de).
    • Stellen Sie sicher, dass die Integration erfolgreich abgeschlossen ist.

Passwortloser SSH-Zugriff vom Client auf den Server (Dies geschieht automatisch)

  • Auf dem SSH-Server:
    • Stellen Sie sicher, dass Kerberos-Authentifizierung in der SSH-Konfiguration aktiviert ist.
    • Öffnen Sie die Datei /etc/ssh/sshd_config und stellen Sie sicher, dass folgende Zeilen enthalten sind:
      • KerberosAuthentication yes
      • GSSAPIAuthentication yes
    • Starten Sie den SSH-Dienst neu:
      • systemctl restart sshd

Kerberos-Ticket vom Client abrufen

Melden Sie sich auf dem Client an

  • Installieren Sie das FreeIPA-Client-Paket:
    • apt install freeipa-client (für Debian/Ubuntu)
    • yum install ipa-client (für RHEL/CentOS)
  • Führen Sie den FreeIPA-Client-Installationsbefehl aus, um den Server in die FreeIPA-Domäne aufzunehmen:
    • ipa-client-install --mkhomedir --server=freeipa.lab34.linuggs.de --domain=lab34.linuggs.de
    • Befolgen Sie die Anweisungen und geben Sie die FreeIPA-Server-Domain an (z. B. lab34.linuggs.de).
    • Stellen Sie sicher, dass die Integration erfolgreich abgeschlossen ist.
  • Holen Sie sich ein Kerberos-Ticket mit folgendem Befehl:
    • kinit benutzername
    • Ersetzen Sie benutzername durch den Namen des Benutzers in FreeIPA.
  • Überprüfen Sie, ob das Ticket erfolgreich abgerufen wurde:
    • klist
    • Das Ticket sollte in der Ausgabe aufgelistet sein.
  • Auf dem Client:
    • Versuchen Sie, sich ohne Passwort auf den SSH-Server zu verbinden:
      • ssh benutzername@ssh-server
    • Wenn alles korrekt konfiguriert ist und das Kerberos-Ticket vorhanden ist, sollte keine Passwortabfrage erfolgen.
Abgerufen von „http://wiki.ixheim.de/index.php?title=Freeipa_Projekt&oldid=57272