Hinweis:
- Dieses Tutorial ist in einer von Oracle bereitgestellten freien Laborumgebung verfügbar.
- Es verwendet Beispielwerte für Oracle Cloud Infrastructure-Zugangsdaten, -Mandanten und -Compartments. Wenn Sie Ihre Übung abgeschlossen haben, ersetzen Sie diese Werte durch Werte, die speziell für Ihre Cloud-Umgebung gelten.
Installieren Sie den FreeIPA-Server unter Oracle Linux
Einführung
FreeIPA ist ein Open Source-Identitäts- und Authentifizierungsverwaltungssystem für Linux-Netzwerkumgebungen. Der Server enthält den 389 Directory Server als zentralen Datenspeicher und bietet vollständige Multi-Master-Funktionalität LDAPv3.
Über den Umfang dieses Tutorials hinaus stellt FreeIPA auch MIT Kerberos für die Single Sign-On-Authentifizierung, die Dogtag Certificate Authority und die optionale Domainnamenverwaltung über einen ISC-Bind-Server bereit.
In diesem Tutorial wird gezeigt, wie Sie FreeIPA installieren und das enthaltene LDAP-Verzeichnis konfigurieren.
Ziele
- FreeIPA-Server installieren
- Anonyme Bind-Vorgänge deaktivieren
- Benutzer und Gruppen hinzufügen
Voraussetzungen
- Ein System mit mindestens 2 vCPUs, 2 GB RAM und Oracle Linux ist installiert
- Ein FQDN (Fully Qualified Domain Name ), der auf die IP-Adresse des Servers verweist
Weitere Informationen zu den Anforderungen für FreeIPA finden Sie in der Upstream-Kurzanleitung.
Übungsumgebung einrichten
Hinweis: Bei Verwendung der kostenlosen Übungsumgebung finden Sie unter Oracle Linux Lab - Grundlagen weitere Anweisungen zur Verbindung und Verwendung.
-
Öffnen Sie ein Terminal, und stellen Sie eine Verbindung über ssh zur freeipa-server-Instanz her, wenn noch nicht geschehen.
ssh oracle@<ip_address_of_instance>
Bestätigen Sie den Server HostName.
Der FreeIPA-Server erfordert eine funktionsfähige DNS-Konfiguration. Clients, die mit dem Befehlszeilentool ipa
registriert wurden, suchen den Server nach den Parametern xmlrpc_url
und domain
, die in der Datei /etc/ipa/default.conf
definiert sind.
-
Überprüfen Sie den Hostnamen des Servers.
sudo hostname
Die Ausgabe darf nicht
localhost
oderlocalhost6
zurückgeben.
Bestätigen Sie den vollqualifizierten Domainnamen (FQDN).
FreeIPA ist auf 64 Zeichen für den FQDN begrenzt, den er während der Installation validiert. Wenn der FQDN mehr als 64 Zeichen umfasst, verwenden Sie sudo hostnamectl set-hostname NAME
, wobei NAME
der FQDN ist, um ihn zu kürzen.
-
Prüfen Sie den FQDN und seine Länge.
hostname -f
echo $(hostname -f) | wc -m
Hinweis: Der FQDN besteht aus
freeipa.<RND_SUBNET>.linuxvirt.oraclevcn.com
, wobei<RND_SUBNET>
eine zufällige Zeichenfolge mit 4 Zeichen und dem Buchstabeno
ist.
Namensauflösung bestätigen.
-
Rufen Sie die IP-Adresse des Servers ab.
sudo ip addr show
Beispielausgabe:
[oracle@freeipa ~]$ sudo ip addr show ... 2: ens3: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 9000 qdisc pfifo_fast state UP group default qlen 1000 link/ether 00:00:17:02:b3:9e brd ff:ff:ff:ff:ff:ff altname enp0s3 inet 10.0.0.150/24 brd 10.0.0.255 scope global dynamic noprefixroute ens3 valid_lft 85923sec preferred_lft 85923sec inet6 fe80::200:17ff:fe02:b39e/64 scope link noprefixroute valid_lft forever preferred_lft forever
Die Adresse IPv4 wird in der Zeile angezeigt, die mit
inet
beginnt. -
Prüfen Sie die Weiterleitungs-DNS-Konfiguration.
host $(hostname -f)
Beispielausgabe:
[oracle@freeipa ~]$ host $(hostname -f) freeipa.o6fb5.linuxvirt.oraclevcn.com has address 10.0.0.150
Sie können die Weiterleitungs-DNS-Konfiguration auch mit
dig +short $(hostname -f) A
prüfen. Sowohlhost
als auchdig
sind Teil des Packagesbind-utils
, das verschiedene Utilitys zum Abfragen von DNS-Namenservern bereitstellt. -
Prüfen Sie die Reverse-DNS-Konfiguration (PTR-Datensätze).
host $(hostname -i)
Beispielausgabe:
[oracle@freeipa ~]$ host $(hostname -i) 150.0.0.10.in-addr.arpa domain name pointer freeipa.o6fb5.linuxvirt.oraclevcn.com.
Alternativ können Sie
dig +short -x $(hostname -i)
verwenden.
Erforderliche Firewallports öffnen
Für FreeIPA müssen mehrere Ports geöffnet sein und für die Kommunikation mit seinen Services verfügbar sein.
Service | Ports | Protokoll |
---|---|---|
HTTP/HTTPS | 80.443 | TCP |
LDAP/LDAPs | 389.636 | TCP |
Kerberos | 88.464 | TCP und UDP |
DNS | 53 | TCP und UDP |
NTP | 123 | UDP |
Oracle Linux stellt den freeipa-4
-Service bereit, um diese erforderlichen Ports zu öffnen. Details finden Sie unter /usr/lib/firewalld/services/freeipa-4.xml
. Der freeipa-4
-Service ersetzt die veralteten Services freeipa-ldap
und freeipa-ldaps
.
-
Fügen Sie den
firewalld
-Service hinzu.sudo firewall-cmd --permanent --add-service=freeipa-4
sudo firewall-cmd --reload
Erforderliche Packages installieren
-
Installieren Sie die Packages für einen FreeIPA-Server ohne die integrierten DNS-Services.
sudo dnf install ipa-server -y
Hinweis: Die integrierten DNS-Services werden in diesem Tutorial nicht verwendet. Fügen Sie bei Bedarf das Package
ipa-server-dns
zur Installationsliste hinzu.
Installieren und konfigurieren Sie den FreeIPA-Server
-
Führen Sie das Installationsutility aus.
sudo ipa-server-install
Das Skript beginnt mit dem Speicherort der Installationslogdatei und einer Zusammenfassung dessen, was der FreeIPA-Server enthält.
Beispielausgabe:
[oracle@freeipa ~]$ sudo ipa-server-install The log file for this installation can be found in /var/log/ipaserver-install.log ============================================================================== This program will set up the IPA Server. Version 4.9.8 This includes: * Configure a stand-alone CA (dogtag) for certificate management * Configure the NTP client (chronyd) * Create and configure an instance of Directory Server * Create and configure a Kerberos Key Distribution Center (KDC) * Configure Apache (httpd) * Configure SID generation * Configure the KDC to enable PKINIT ...
Das Skript verwendet dann mehrere Prompts, um die Serverkonfiguration einzurichten. Das Terminal zeigt die Standardantwort auf den Prompt in Klammern an, und durch Drücken von
Enter
wird die Standardantwort akzeptiert. -
Übernehmen Sie die Standardantwort von
no
, um den integrierten DNS-Service zu konfigurieren.Do you want to configure integrated DNS (BIND)? [no]:
-
Übernehmen Sie den standardmäßigen Host-Namen, Domain-Namen und Realm-Namen.
Dies sind die zu Beginn dieser Übung geprüften Werte. Es wird empfohlen, dass der Realm-Name mit dem Namen der primären DNS-Domain und in Großbuchstaben übereinstimmt.
Enter the fully qualified domain name of the computer on which you're setting up server software. Using the form <hostname>.<domainname> Example: master.example.com. Server host name [freeipa.o6fb5.linuxvirt.oraclevcn.com]: The domain name has been determined based on the host name. Please confirm the domain name [o6fb5.linuxvirt.oraclevcn.com]: The kerberos protocol requires a Realm name to be defined. This is typically the domain name converted to uppercase. Please provide a realm name [O6FB5.linuxvirt.ORACLEVCN.COM]:
-
Geben Sie die Kennwörter für den Directory-Server-Superuser und den FreeIPA
admin
-Benutzer ein, und bestätigen Sie sie.Der Directory-Server-Superuser ist
cn=Directory Manager
innerhalb des Verzeichnisses zugeordnet.Certain directory server operations require an administrative user. This user is referred to as the Directory Manager and has full access to the Directory for system management tasks and will be added to the instance of directory server created for IPA. The password must be at least 8 characters long. Directory Manager password: Password (confirm): The IPA server requires an administrative user, named 'admin'. This user is a regular system account used for IPA server administration. IPA admin password: Password (confirm):
-
Übernehmen Sie die Standardwerte für den NETBIOS-Domainnamen, und konfigurieren Sie die Chronik.
NetBIOS domain name [O6FB5]: Do you want to configure chrony with NTP server or pool address? [no]:
-
Das Skript enthält eine Zusammenfassung der Serverkonfiguration.
-
Geben Sie
yes
ein, um die Serverkonfiguration zu akzeptieren.Continue to configure the system with these values? [no]: yes
-
Das Skript fährt mit der Konfiguration des Servers fort.
Dieser Vorgang kann mehrere Minuten dauern.
... Client configuration complete. The ipa-client-install command was successful Please add records in this file to your DNS system: /tmp/ipa.system.records.mv9i0ec2.db ============================================================================== Setup complete Next steps: 1. You must make sure these network ports are open: TCP Ports: * 80, 443: HTTP/HTTPS * 389, 636: LDAP/LDAPS * 88, 464: kerberos UDP Ports: * 88, 464: kerberos * 123: ntp 2. You can now obtain a kerberos ticket using the command: 'kinit admin' This ticket will allow you to use the IPA tools (e.g., ipa user-add) and the web user interface. Be sure to back up the CA certificates stored in /root/cacert.p12 These files are required to create replicas. The password for these files is the Directory Manager password The ipa-server-install command was successful
Nach Abschluss stellt das Skript Folgendes bereit:
- Eine Zusammenfassung.
- Eine Liste der Datensätze, die dem DNS-System hinzugefügt werden sollen.
- Empfehlung zum Sichern der generierten CA-Zertifikate.
Die erforderlichen Netzwerkports sind bereits mit dem
freeipa-4
firewalld
-Service geöffnet.
FreeIPA-Server testen
Die Installation von FreeIPA umfasst einen Befehlszeilenclient und ein WebUI für die Interaktion mit dem Server. Die Verwendung von WebUI liegt außerhalb des Geltungsbereichs dieses Tutorials.
Auf die Befehlszeilenschnittstelle (CLI) zugreifen
-
Authentifizieren Sie den Benutzer
admin
für die Kerberos-Realm.kinit admin
Wenn Sie dazu aufgefordert werden, geben Sie das Kennwort für den
admin
-Benutzer ein, der während der Installations- und Konfigurationsschritte erstellt wurde. Mit dem Befehlkinit
wird dann ein Kerberos-Ticket generiert. -
Ticketinformationen auflisten
klist
Beispielausgabe:
[oracle@freeipa ~]$ sudo klist Ticket cache: KCM:0 Default principal: admin@O6FB5.LINUXVIRT.ORACLEVCN.COM Valid starting Expires Service principal 09/28/2022 14:05:46 09/29/2022 13:05:53 krbtgt/O6FB5.LINUXVIRT.ORACLEVCN.COM@O6FB5.LINUXVIRT.ORACLEVCN.COM
-
Rufen Sie eine Liste aller vorhandenen Benutzer auf dem FreeIPA-Server ab.
ipa user-find
Die Ergebnisse geben den Benutzer
admin
zurück, der derzeit der einzige Benutzer ist.Beispielausgabe:
[oracle@freeipa ~]$ sudo ipa user-find -------------- 1 user matched -------------- User login: admin Last name: Administrator Home directory: /home/admin Login shell: /bin/bash Principal alias: admin@O6FB5.LINUXVIRT.ORACLEVCN.COM, root@O6FB5.LINUXVIRT.ORACLEVCN.COM UID: 872200000 GID: 872200000 Account disabled: False ---------------------------- Number of entries returned 1 ----------------------------
Sicherheitseinstellungen und Härtung
Im Folgenden finden Sie einige Möglichkeiten, den FreeIPA-Server sicher zu verwenden.
Anonyme Bind-Vorgänge deaktivieren
Der LDAP-Server FreeIPA aktiviert anonyme Binds als Standard, sodass bestimmte Konfigurationseinstellungen und Verzeichniswerte verfügbar gemacht werden.
Das Attribut nsslapd-allow-anonymous-access
steuert dieses Verhalten. Zulässige Werte:
on
: Lässt alle anonymen Binds zu (Standard)rootdse
: Ermöglicht anonyme Binds nur für Root-DSE-Informationenoff
: Unzulässig für anonyme Binds
Es wird empfohlen, rootdse
anstelle von off
zu verwenden, wenn anonyme Binds nicht zulässig sind, da die Verwendung von off
auch verhindert, dass externe Clients die Serverkonfiguration prüfen. Nicht-Domainclients wie LDAP und Webclients stellen eine anonymisierte Verbindung her, indem sie die Root-DSE-Datei lesen, um Verbindungsdetails abzurufen.
-
Prüfen Sie, ob anonyme Binds aktiviert sind.
ldapsearch -x -h $(hostname -f) -b dc=$RND_SUBNET,dc=linuxvirt,dc=oraclevcn,dc=com
-x
legt eine einfache oder anonyme Authentifizierung fest.-h
legt den LDAP-Serverhost fest.-b
legt den Basis-DN für die Suche fest.
Die Schlüsseleinstellungen, einschließlich Basis-DN für den FreeIPA-Server, werden in der Datei
/etc/ipa/default.conf
gespeichert.$RND_SUBNET
ist eine Umgebungsvariable, die in der freien Laborumgebung festgelegt ist und die zufällige Zeichenfolge mit 4 Zeichen im FQDN darstellt.Beispielausgabe:
... # Default SMB Group, groups, accounts, o6fb5.linuxvirt.oraclevcn.com dn: cn=Default SMB Group,cn=groups,cn=accounts,dc=o6fb5,dc=linuxvirt,dc=oraclevc n,dc=com cn: Default SMB Group description: Fallback group for primary group RID, do not add users to this gr oup objectClass: top objectClass: ipaobject objectClass: posixgroup objectClass: ipantgroupattrs ipaUniqueID: 0c9cf178-4324-11ed-bf0b-02001704fe22 gidNumber: 921600001 ipaNTSecurityIdentifier: S-1-5-21-2697967063-3375457457-2974965896-1001 # search result search: 2 result: 0 Success # numResponses: 110 # numEntries: 109
Die Suchergebnisse geben den gesamten Baum für das LDAP-Verzeichnis zurück.
-
Ändern Sie die Konfiguration, und deaktivieren Sie anonyme Binds.
Der Befehl
ldapmodify
akzeptiert entweder eine LDIF-Datei mit den zu treffenden Änderungen oder liest Vorgänge aus der Standardeingabe.-
Erstellen Sie die LDIF-Datei.
cat << 'EOF' | tee ~/disable_anon_bind.ldif > /dev/null dn: cn=config changetype: modify replace: nsslapd-allow-anonymous-access nsslapd-allow-anonymous-access: rootdse EOF
Sie können mehrere Attribute ändern, indem Sie sie mit einem Bindestrich (
-
) in einer Zeile durch sich selbst trennen. Jede weitere Änderung beginnt mit dem Attributänderungstyp und gibt die erforderlichen Attribute an. -
Wenden Sie die LDIF-Änderungen an.
ldapmodify -x -D "cn=Directory Manager" -W -H ldap:// -ZZ -f ~/disable_anon_bind.ldif
-x
legt eine einfache oder anonyme Authentifizierung fest.-D
legt den Bind-DN fest.-W
fordert zur Eingabe des LDAP-admin
-Kennworts auf.-H
verwendet den LDAP Uniform Resource Identifier (URI) für die Anmeldung anstelle des LDAP-Serverhosts.-ZZ
startet eine TLS-Anforderung und erzwingt eine erfolgreiche Antwort.
Hinweis:
-ZZ
ist aufgrund der Verwendung selbstsignierter Zertifikate erforderlich.Beispielausgabe:
[oracle@freeipa ~]$ ldapmodify -x -D "cn=Directory Manager" -W -H ldap:// -ZZ -f ~/disable_anon_bind.ldif Enter LDAP Password: modifying entry "cn=config"
-
Starten Sie den FreeIPA-Server neu.
sudo systemctl restart ipa.service
-
-
Prüfen Sie die Änderung, indem Sie das Verzeichnis anonym abfragen.
ldapsearch -x -h $(hostname -f) -b dc=$RND_SUBNET,dc=linuxvirt,dc=oraclevcn,dc=com
Beachten Sie die Antwort
Anonymous access is not allowed
.Beispielausgabe:
[oracle@freeipa ~]$ ldapsearch -x -h freeipa.o6fb5.linuxvirt.oraclevcn.com -b dc=o6fb5,dc=linuxvirt,dc=oraclevcn,dc=com # extended LDIF # # LDAPv3 # base <dc=o6fb5,dc=linuxvirt,dc=oraclevcn,dc=com> with scope subtree # filter: (objectclass=*) # requesting: ALL # # search result search: 2 result: 48 Inappropriate authentication text: Anonymous access is not allowed. # numResponses: 1
-
Prüfen Sie, ob die Abfrage des Verzeichnisses mit der Authentifizierung funktioniert.
ldapsearch -D uid=admin,cn=users,cn=accounts,dc=$RND_SUBNET,dc=linuxvirt,dc=oraclevcn,dc=com -W -H ldap://
Beispielausgabe:
... # freeipa.o6fb5.linuxvirt.oraclevcn.com + 389, subordinate-ids, dna, ipa, etc, o6fb5.linuxvirt.oraclevcn.com dn: dnaHostname=freeipa.o6fb5.linuxvirt.oraclevcn.com+dnaPortNum=389,cn=subord inate-ids,cn=dna,cn=ipa,cn=etc,dc=o6fb5,dc=linuxvirt,dc=oraclevcn,dc=com objectClass: dnaSharedConfig objectClass: top dnaHostname: freeipa.o6fb5.linuxvirt.oraclevcn.com dnaPortNum: 389 dnaSecurePortNum: 636 dnaRemainingValues: 32766 # search result search: 2 result: 0 Success # numResponses: 475 # numEntries: 474
Prüfen, ob TLS aktiviert ist
Ab Oracle Linux 8 verwendet FreeIPA die systemweite Krypto-Policy. Weitere Einzelheiten finden Sie in der Manpage crypto-policies(7)
.
-
Listen Sie die aktuelle systemweite Krypto-Policy auf.
cat /etc/crypto-policies/config
-
Listen Sie die Details der Krypto-Policy auf.
cat /usr/share/crypto-policies/$(cat /etc/crypto-policies/config)/nss.txt
Beispielausgabe:
[oracle@freeipa ~]$ cat /usr/share/crypto-policies/$(cat /etc/crypto-policies/config)/nss.txt library= name=Policy NSS=flags=policyOnly,moduleDB config="disallow=ALL allow=HMAC-SHA256:HMAC-SHA1:HMAC-SHA384:HMAC-SHA512:CURVE25519:SECP256R1:SECP384R1:SECP521R1:aes256-gcm:chacha20-poly1305:aes256-cbc:aes128-gcm:aes128-cb > c:SHA256:SHA384:SHA512:SHA224:ECDHE-RSA:ECDHE-ECDSA:RSA:DHE-RSA:ECDSA:RSA-PSS:RSA-PKCS:tls-version-min=tls1.2:dtls-version-min=dtls1.2:DH-MIN=2048:DSA-MIN=2048:RSA-MIN=2048"
Beachten Sie, dass die
DEFAULT
-Policy mindestensTLS 1.2
verwendet.
Prüfen Sie den FreeIPA-Serverstatus.
Der FreeIPA-Server umfasst das ipactl
-Utility, mit dem der Status konfigurierter Services angezeigt wird. Derselbe Utility kann auch den gesamten FreeIPA-Server starten, stoppen und neu starten. Wenn Sie einzelne Komponenten start
, stop
oder restart
benötigen, verwenden Sie systemctl COMMAND name.service
.
-
Zeigen Sie den Status aller Services an.
sudo ipactl status
Beispielausgabe:
[oracle@freeipa ~]$ sudo ipactl status Directory Service: RUNNING krb5kdc Service: RUNNING kadmin Service: RUNNING httpd Service: RUNNING ipa-custodia Service: RUNNING pki-tomcatd Service: RUNNING ipa-otpd Service: RUNNING ipa: INFO: The ipactl command was successful
Verwenden Sie
sudo ipactl --help
, um zusätzliche Befehlsoptionen anzuzeigen.
Benutzer und Gruppen erstellen
Wenn die grundlegende Installation und Konfiguration des FreeIPA-Servers abgeschlossen ist, wird im nächsten Schritt das Identitätsmanagement behandelt, das aus dem Erstellen von Benutzern und Gruppen besteht. Generieren Sie zuvor ein Kerberos-Token.
-
Generieren Sie ein Token für den Benutzer
admin
.kinit admin
-
Rufen Sie eine Liste mit vorhandenen Token ab.
klist
Die Kerberos-Token sind standardmäßig 24 Stunden lang gültig. Da diese Befehle zuvor im Schritt "Zugriff auf die Befehlszeilenschnittstelle (CLI)" ausgeführt wurden, zeigt die Liste das ursprüngliche Token an, anstatt ein neues zu erstellen.
-
Fügen Sie eine neue Benutzergruppe hinzu.
FreeIPA definiert eine Benutzergruppe als eine Gruppe von Benutzern mit Standardkennwort-Policys, Berechtigungen und anderen Eigenschaften.
Eine Benutzergruppe kann Folgendes umfassen:
- Benutzer
- andere Benutzergruppen
- Externe Benutzer, die außerhalb von FreeIPA vorhanden sind
ipa group-add foo
Beispielausgabe:
[oracle@freeipa ~]$ ipa group-add foo ----------------- Added group "foo" ----------------- Group name: foo GID: 1326400003
Der FreeIPA-Server unterstützt drei Gruppentypen:
- POSIX (Standard)
- Nicht-POSIX
- Extern
Die Gruppe foo
ist eine POSIX-Benutzergruppe. Um einen anderen Gruppentyp anzugeben, verwenden Sie eine der folgenden Optionen:
--nonposix
, um eine Nicht-POSIX-Gruppe zu erstellen--external
, um eine externe Gruppe zu erstellen- Rufen Sie eine Liste aller vorhandenen Benutzergruppen ab.
ipa group-find
Beispielausgabe:
[oracle@freeipa ~]$ ipa group-find ---------------- 5 groups matched ---------------- Group name: admins Description: Account administrators group GID: 1326400000 Group name: editors Description: Limited admins who can edit other users GID: 1326400002 Group name: foo GID: 1326400003 Group name: ipausers Description: Default group for all users Group name: trust admins Description: Trusts administrators group ---------------------------- Number of entries returned 5 ----------------------------
Der FreeIPA-Server erstellt die folgenden Benutzergruppen während der Installation.
admins
ipausers
trust admins
Warnung: Löschen Sie die Gruppe
admin
nicht, da sie den Standardbenutzeradmin
enthält. Der FreeIPA-Server erfordert, dass dieadmin
-Gruppe ordnungsgemäß ausgeführt wird.
-
Neuen Benutzeraccount hinzufügen.
ipa user-add
Der Befehl führt ein interaktives Skript aus, das zur Eingabe der minimalen Daten auffordert, die FreeIPA zum Erstellen eines Benutzerkontos benötigt.
Beispielausgabe:
[oracle@freeipa ~]$ ipa user-add First name: Oracle Last name: User User login [ouser]: oracle ------------------- Added user "oracle" ------------------- User login: oracle First name: Oracle Last name: User Full name: Oracle User Display name: Oracle User Initials: OU Home directory: /home/oracle GECOS: Oracle User Login shell: /bin/sh Principal name: oracle@OD1F5.LINUXVIRT.ORACLEVCN.COM Principal alias: oracle@OD1F5.LINUXVIRT.ORACLEVCN.COM Email address: oracle@od1f5.linuxvirt.oraclevcn.com UID: 1326400004 GID: 1326400004 Password: False Member of groups: ipausers Kerberos keys available: False
Alternativ dazu können Sie mit mehreren Optionen ein Benutzerkonto im nicht-interaktiven Modus erstellen. Um eine Liste der verfügbaren Optionen abzurufen, führen Sie
ipa user-add --help
aus. -
Fügen Sie den neuen Benutzer der neuen Benutzergruppe hinzu.
ipa group-add-member foo --users=oracle
Beispielausgabe:
[oracle@freeipa ~]$ ipa group-add-member foo --users=oracle Group name: foo GID: 1326400003 Member users: oracle ------------------------- Number of members added 1 -------------------------
Der ipa
-Befehl bietet mehr Funktionalität als angezeigt wird. Um eine umfassende Liste zu erhalten, führen Sie ipa help commands
aus.
Übersicht
Abschließend werden die Grundlagen der Installation und Verwendung des FreeIPA-Servers vorgestellt. Verwenden Sie die folgenden Links, oder lesen Sie die Produkthandbuchseiten, da FreeIPA viele zusätzliche Funktionen bietet, die über die hier behandelten Aspekte hinausgehen.
Weitere Informationen
Weitere zugehörige Ressourcen:
Weitere Lernressourcen
Sehen Sie sich weitere Übungen unter docs.oracle.com/learn an, oder greifen Sie auf weitere kostenlose Lerninhalte im Oracle Learning-Kanal YouTube zu. Besuchen Sie außerdem education.oracle.com/learning-explorer, um Oracle Learning Explorer zu werden.
Die Produktdokumentation finden Sie im Oracle Help Center.
Install FreeIPA Server on Oracle Linux
F71514-01
October 2022
Copyright © 2022, Oracle and/or its affiliates.