ipa-server

51qsx

　　基于CentOS6.5进行IPA服务的搭建——服务端搭建及配置
　　http://blkart.blog.51cto.com/1142352/1413000
　　基于CentOS6.5进行IPA服务的搭建——客户端配置
　　http://blkart.blog.51cto.com/1142352/1413125
　　freeipa官方文档：
　　http://www.freeipa.org/page/Documentation
　　http://www.freeipa.org/page/Quick_Start_Guide
　　http://www.freeipa.org/page/Deployment_Recommendations
　　NIS账号集中管理
　　http://jedy82.blog.51cto.com/425872/1389051
　　http://dreamfire.blog.51cto.com/418026/159898/
　　Configure FreeIPA Server
　　http://www.server-world.info/en/note?os=Fedora_18&p=ipa&f=1
　　Configure FreeIPA Client
　　http://www.server-world.info/en/note?os=Fedora_18&p=ipa&f=2
　　Basic Operation
　　http://www.server-world.info/en/note?os=Fedora_18&p=ipa&f=3
　　freeipa的HA
　　https://my.oschina.net/u/142602/blog/186481
　　http://bananalighter.blog.51cto.com/6386339/1424564
　　补充：
　　在server端：
　　安装完server端后要确保可以解析client.example.com 和 ipa.example.com
　　[root@ipa ~]# kinit  admin
　　Password for admin@EXAMPLE.COM:
　　[root@ipa ~]#
　　[root@ipa ~]# /usr/sbin/ipa-getkeytab -s  ipa.example.com  -p host/client.example.com -k /tmp/aa.keytab
　　Keytab successfully retrieved and stored in: /tmp/aa.keytab
　　[root@ipa ~]#
　　[root@ipa ~]# scp /tmp/aa.keytab  client.example.com:/root
　　root@192.168.181.167's password:
　　aa.keytab                                  100%  322 0.3KB/s   00:00
　　[root@ipa ~]#
　　并在客户端做如下操作：
　　[root@client ~]# cp aa.keytab  /etc/krb5.keytab
　　cp: overwrite `/etc/krb5.keytab'? y
　　[root@client ~]#
　　服务端继续如下操作：
　　[root@ipa ~]# su - user01
　　[user01@ipa ~]$
　　[user01@ipa ~]$ kinit
　　Password for user01@EXAMPLE.COM:
　　[user01@ipa ~]$
　　[user01@ipa ~]$
　　[user01@ipa ~]$ ssh client.example.com
　　Last login: Thu Oct 27 19:44:30 2016 from 192.168.181.169
　　[user01@client ~]$  ###成功登陆
relay登录线上主机需要密码？
　　relay登录线上主机鉴权是走的kerberos认证，kerberos认证时需要从KDC获取一个ticket（票据），ticket有效期是24h，可以在relay上通过klist查看，有效期内登录具有权限的主机都不需要密码，ticket过期后登录时会提示需要密码，正常情况下输入relay密码可以成功登录，另外还可以通过在relay上输入"kdestroy && kinit"，在提示下输入relay密码（不加动态口令），重新生成ticket，这样之后的ticket有效期内登录主机就不需要密码了。
　　一个博主的分享：
　　企业级集中身份认证及授权管理实践freeipa
　　http://blog.csdn.net/xuyaqun/article/details/51596018
　　ldap服务器搭建——sudo权限配置
　　http://blog.csdn.net/lclansefengbao/article/details/50442334
　　ldap服务器搭建——问题整理
　　http://blog.csdn.net/lclansefengbao/article/details/50442704
　　ldap服务器搭建——ldap_bind: Invalid credentials (49)错误解决
　　http://blog.csdn.net/lclansefengbao/article/details/50437240
　　ldap相关文章
　　http://www.120ni.com/?cate=13
　　freeipa的web端标签

　　定义用户、用户组、主机、主机组、网络组、服务和DNS这些基本信息，这些信息会在Policy中被引用。

　　这个Policy标签定义了
　　1、Host Based Access Control（定义了哪个用户【】组】可以登录哪个主机【组】）
　　2、Sudo  控制sudo，可以精细到用户【组】、主机【组】
　　3、Automount
　　4、Password Policies 密码策略
　　5、KERBEROS Ticket Policy 票据相关
　　6、SELinux User
　　7、Maps Automember