51qsx 发表于 2018-10-21 09:50:07

ipa-server

  基于CentOS6.5进行IPA服务的搭建——服务端搭建及配置
  http://blkart.blog.51cto.com/1142352/1413000
  基于CentOS6.5进行IPA服务的搭建——客户端配置
  http://blkart.blog.51cto.com/1142352/1413125
  freeipa官方文档:
  http://www.freeipa.org/page/Documentation
  http://www.freeipa.org/page/Quick_Start_Guide
  http://www.freeipa.org/page/Deployment_Recommendations
  NIS账号集中管理
  http://jedy82.blog.51cto.com/425872/1389051
  http://dreamfire.blog.51cto.com/418026/159898/
  Configure FreeIPA Server
  http://www.server-world.info/en/note?os=Fedora_18&p=ipa&f=1
  Configure FreeIPA Client
  http://www.server-world.info/en/note?os=Fedora_18&p=ipa&f=2
  Basic Operation
  http://www.server-world.info/en/note?os=Fedora_18&p=ipa&f=3
  freeipa的HA
  https://my.oschina.net/u/142602/blog/186481
  http://bananalighter.blog.51cto.com/6386339/1424564
  补充:
  在server端:
  安装完server端后要确保可以解析client.example.com 和 ipa.example.com
  # kinitadmin
  Password for admin@EXAMPLE.COM:
  #
  # /usr/sbin/ipa-getkeytab -sipa.example.com-p host/client.example.com -k /tmp/aa.keytab
  Keytab successfully retrieved and stored in: /tmp/aa.keytab
  #
  # scp /tmp/aa.keytabclient.example.com:/root
  root@192.168.181.167's password:
  aa.keytab                                  100%322 0.3KB/s   00:00
  #
  并在客户端做如下操作:
  # cp aa.keytab/etc/krb5.keytab
  cp: overwrite `/etc/krb5.keytab'? y
  #
  服务端继续如下操作:
  # su - user01
  $
  $ kinit
  Password for user01@EXAMPLE.COM:
  $
  $
  $ ssh client.example.com
  Last login: Thu Oct 27 19:44:30 2016 from 192.168.181.169
  $###成功登陆
relay登录线上主机需要密码?
  relay登录线上主机鉴权是走的kerberos认证,kerberos认证时需要从KDC获取一个ticket(票据),ticket有效期是24h,可以在relay上通过klist查看,有效期内登录具有权限的主机都不需要密码,ticket过期后登录时会提示需要密码,正常情况下输入relay密码可以成功登录,另外还可以通过在relay上输入"kdestroy && kinit",在提示下输入relay密码(不加动态口令),重新生成ticket,这样之后的ticket有效期内登录主机就不需要密码了。
  一个博主的分享:
  企业级集中身份认证及授权管理实践freeipa
  http://blog.csdn.net/xuyaqun/article/details/51596018
  ldap服务器搭建——sudo权限配置
  http://blog.csdn.net/lclansefengbao/article/details/50442334
  ldap服务器搭建——问题整理
  http://blog.csdn.net/lclansefengbao/article/details/50442704
  ldap服务器搭建——ldap_bind: Invalid credentials (49)错误解决
  http://blog.csdn.net/lclansefengbao/article/details/50437240
  ldap相关文章
  http://www.120ni.com/?cate=13
  freeipa的web端标签

  定义用户、用户组、主机、主机组、网络组、服务和DNS这些基本信息,这些信息会在Policy中被引用。

  这个Policy标签定义了
  1、Host Based Access Control(定义了哪个用户【】组】可以登录哪个主机【组】)
  2、Sudo控制sudo,可以精细到用户【组】、主机【组】
  3、Automount
  4、Password Policies 密码策略
  5、KERBEROS Ticket Policy 票据相关
  6、SELinux User
  7、Maps Automember

页: [1]
查看完整版本: ipa-server