Hinweis:

Installieren Sie den FreeIPA-Server unter Oracle Linux

Einführung

FreeIPA ist ein Open Source-Identitäts- und Authentifizierungsverwaltungssystem für Linux-Netzwerkumgebungen. Der Server enthält den 389 Directory Server als zentralen Datenspeicher und bietet vollständige Multi-Master-Funktionalität LDAPv3.

Über den Umfang dieses Tutorials hinaus stellt FreeIPA auch MIT Kerberos für die Single Sign-On-Authentifizierung, die Dogtag Certificate Authority und die optionale Domainnamenverwaltung über einen ISC-Bind-Server bereit.

In diesem Tutorial wird gezeigt, wie Sie FreeIPA installieren und das enthaltene LDAP-Verzeichnis konfigurieren.

Ziele

Voraussetzungen

Weitere Informationen zu den Anforderungen für FreeIPA finden Sie in der Upstream-Kurzanleitung.

Übungsumgebung einrichten

Hinweis: Bei Verwendung der kostenlosen Übungsumgebung finden Sie unter Oracle Linux Lab - Grundlagen weitere Anweisungen zur Verbindung und Verwendung.

  1. Öffnen Sie ein Terminal, und stellen Sie eine Verbindung über ssh zur freeipa-server-Instanz her, wenn noch nicht geschehen.

    ssh oracle@<ip_address_of_instance>
    

Bestätigen Sie den Server HostName.

Der FreeIPA-Server erfordert eine funktionsfähige DNS-Konfiguration. Clients, die mit dem Befehlszeilentool ipa registriert wurden, suchen den Server nach den Parametern xmlrpc_url und domain, die in der Datei /etc/ipa/default.conf definiert sind.

  1. Überprüfen Sie den Hostnamen des Servers.

    sudo hostname
    

    Die Ausgabe darf nicht localhost oder localhost6 zurückgeben.

Bestätigen Sie den vollqualifizierten Domainnamen (FQDN).

FreeIPA ist auf 64 Zeichen für den FQDN begrenzt, den er während der Installation validiert. Wenn der FQDN mehr als 64 Zeichen umfasst, verwenden Sie sudo hostnamectl set-hostname NAME, wobei NAME der FQDN ist, um ihn zu kürzen.

  1. Prüfen Sie den FQDN und seine Länge.

    hostname -f
    
    echo $(hostname -f) | wc -m
    

    Hinweis: Der FQDN besteht aus freeipa.<RND_SUBNET>.linuxvirt.oraclevcn.com, wobei <RND_SUBNET> eine zufällige Zeichenfolge mit 4 Zeichen und dem Buchstaben o ist.

Namensauflösung bestätigen.

  1. Rufen Sie die IP-Adresse des Servers ab.

    sudo ip addr show
    

    Beispielausgabe:

    [oracle@freeipa ~]$ sudo ip addr show
    ...
    2: ens3: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 9000 qdisc pfifo_fast state UP group default qlen 1000
        link/ether 00:00:17:02:b3:9e brd ff:ff:ff:ff:ff:ff
        altname enp0s3
        inet 10.0.0.150/24 brd 10.0.0.255 scope global dynamic noprefixroute ens3
           valid_lft 85923sec preferred_lft 85923sec
        inet6 fe80::200:17ff:fe02:b39e/64 scope link noprefixroute 
           valid_lft forever preferred_lft forever
    

    Die Adresse IPv4 wird in der Zeile angezeigt, die mit inet beginnt.

  2. Prüfen Sie die Weiterleitungs-DNS-Konfiguration.

    host $(hostname -f)
    

    Beispielausgabe:

    [oracle@freeipa ~]$ host $(hostname -f)
    freeipa.o6fb5.linuxvirt.oraclevcn.com has address 10.0.0.150
    

    Sie können die Weiterleitungs-DNS-Konfiguration auch mit dig +short $(hostname -f) A prüfen. Sowohl host als auch dig sind Teil des Packages bind-utils, das verschiedene Utilitys zum Abfragen von DNS-Namenservern bereitstellt.

  3. Prüfen Sie die Reverse-DNS-Konfiguration (PTR-Datensätze).

    host $(hostname -i)
    

    Beispielausgabe:

    [oracle@freeipa ~]$ host $(hostname -i)
    150.0.0.10.in-addr.arpa domain name pointer freeipa.o6fb5.linuxvirt.oraclevcn.com.
    

    Alternativ können Sie dig +short -x $(hostname -i) verwenden.

Erforderliche Firewallports öffnen

Für FreeIPA müssen mehrere Ports geöffnet sein und für die Kommunikation mit seinen Services verfügbar sein.

Service Ports Protokoll
HTTP/HTTPS 80.443 TCP
LDAP/LDAPs 389.636 TCP
Kerberos 88.464 TCP und UDP
DNS 53 TCP und UDP
NTP 123 UDP

Oracle Linux stellt den freeipa-4-Service bereit, um diese erforderlichen Ports zu öffnen. Details finden Sie unter /usr/lib/firewalld/services/freeipa-4.xml. Der freeipa-4-Service ersetzt die veralteten Services freeipa-ldap und freeipa-ldaps.

  1. Fügen Sie den firewalld-Service hinzu.

    sudo firewall-cmd --permanent --add-service=freeipa-4
    
    sudo firewall-cmd --reload
    

Erforderliche Packages installieren

  1. Installieren Sie die Packages für einen FreeIPA-Server ohne die integrierten DNS-Services.

    sudo dnf install ipa-server -y
    

    Hinweis: Die integrierten DNS-Services werden in diesem Tutorial nicht verwendet. Fügen Sie bei Bedarf das Package ipa-server-dns zur Installationsliste hinzu.

Installieren und konfigurieren Sie den FreeIPA-Server

  1. Führen Sie das Installationsutility aus.

    sudo ipa-server-install
    

    Das Skript beginnt mit dem Speicherort der Installationslogdatei und einer Zusammenfassung dessen, was der FreeIPA-Server enthält.

    Beispielausgabe:

    [oracle@freeipa ~]$ sudo ipa-server-install
       
    The log file for this installation can be found in /var/log/ipaserver-install.log
    ==============================================================================
    This program will set up the IPA Server.
    Version 4.9.8
       
    This includes:
      * Configure a stand-alone CA (dogtag) for certificate management
      * Configure the NTP client (chronyd)
      * Create and configure an instance of Directory Server
      * Create and configure a Kerberos Key Distribution Center (KDC)
      * Configure Apache (httpd)
      * Configure SID generation
      * Configure the KDC to enable PKINIT
    ...
    

    Das Skript verwendet dann mehrere Prompts, um die Serverkonfiguration einzurichten. Das Terminal zeigt die Standardantwort auf den Prompt in Klammern an, und durch Drücken von Enter wird die Standardantwort akzeptiert.

  2. Übernehmen Sie die Standardantwort von no, um den integrierten DNS-Service zu konfigurieren.

    Do you want to configure integrated DNS (BIND)? [no]:
    
  3. Übernehmen Sie den standardmäßigen Host-Namen, Domain-Namen und Realm-Namen.

    Dies sind die zu Beginn dieser Übung geprüften Werte. Es wird empfohlen, dass der Realm-Name mit dem Namen der primären DNS-Domain und in Großbuchstaben übereinstimmt.

    Enter the fully qualified domain name of the computer
    on which you're setting up server software. Using the form
    <hostname>.<domainname>
    Example: master.example.com.
    
    
    Server host name [freeipa.o6fb5.linuxvirt.oraclevcn.com]: 
    
    The domain name has been determined based on the host name.
    
    Please confirm the domain name [o6fb5.linuxvirt.oraclevcn.com]: 
    
    The kerberos protocol requires a Realm name to be defined.
    This is typically the domain name converted to uppercase.
    
    Please provide a realm name [O6FB5.linuxvirt.ORACLEVCN.COM]:
    
  4. Geben Sie die Kennwörter für den Directory-Server-Superuser und den FreeIPA admin-Benutzer ein, und bestätigen Sie sie.

    Der Directory-Server-Superuser ist cn=Directory Manager innerhalb des Verzeichnisses zugeordnet.

    Certain directory server operations require an administrative user.
    This user is referred to as the Directory Manager and has full access
    to the Directory for system management tasks and will be added to the
    instance of directory server created for IPA.
    The password must be at least 8 characters long.
    
    Directory Manager password: 
    Password (confirm): 
    
    The IPA server requires an administrative user, named 'admin'.
    This user is a regular system account used for IPA server administration.
    
    IPA admin password: 
    Password (confirm): 
    
  5. Übernehmen Sie die Standardwerte für den NETBIOS-Domainnamen, und konfigurieren Sie die Chronik.

    NetBIOS domain name [O6FB5]: 
    
    Do you want to configure chrony with NTP server or pool address? [no]:
    
  6. Das Skript enthält eine Zusammenfassung der Serverkonfiguration.

  7. Geben Sie yes ein, um die Serverkonfiguration zu akzeptieren.

    Continue to configure the system with these values? [no]: yes
    
  8. Das Skript fährt mit der Konfiguration des Servers fort.

    Dieser Vorgang kann mehrere Minuten dauern.

    ...
    Client configuration complete.
    The ipa-client-install command was successful
    
    Please add records in this file to your DNS system: /tmp/ipa.system.records.mv9i0ec2.db
    ==============================================================================
    Setup complete
    
    Next steps:
    	1. You must make sure these network ports are open:
    		TCP Ports:
    		  * 80, 443: HTTP/HTTPS
    		  * 389, 636: LDAP/LDAPS
    		  * 88, 464: kerberos
    		UDP Ports:
    		  * 88, 464: kerberos
    		  * 123: ntp
    
    	2. You can now obtain a kerberos ticket using the command: 'kinit admin'
    	   This ticket will allow you to use the IPA tools (e.g., ipa user-add)
    	   and the web user interface.
    
    Be sure to back up the CA certificates stored in /root/cacert.p12
    These files are required to create replicas. The password for these
    files is the Directory Manager password
    The ipa-server-install command was successful
    

    Nach Abschluss stellt das Skript Folgendes bereit:

    • Eine Zusammenfassung.
    • Eine Liste der Datensätze, die dem DNS-System hinzugefügt werden sollen.
    • Empfehlung zum Sichern der generierten CA-Zertifikate.

    Die erforderlichen Netzwerkports sind bereits mit dem freeipa-4 firewalld-Service geöffnet.

FreeIPA-Server testen

Die Installation von FreeIPA umfasst einen Befehlszeilenclient und ein WebUI für die Interaktion mit dem Server. Die Verwendung von WebUI liegt außerhalb des Geltungsbereichs dieses Tutorials.

Auf die Befehlszeilenschnittstelle (CLI) zugreifen

  1. Authentifizieren Sie den Benutzer admin für die Kerberos-Realm.

    kinit admin
    

    Wenn Sie dazu aufgefordert werden, geben Sie das Kennwort für den admin-Benutzer ein, der während der Installations- und Konfigurationsschritte erstellt wurde. Mit dem Befehl kinit wird dann ein Kerberos-Ticket generiert.

  2. Ticketinformationen auflisten

    klist
    

    Beispielausgabe:

    [oracle@freeipa ~]$ sudo klist
    Ticket cache: KCM:0
    Default principal: admin@O6FB5.LINUXVIRT.ORACLEVCN.COM
    
    Valid starting       Expires              Service principal
    09/28/2022 14:05:46  09/29/2022 13:05:53  krbtgt/O6FB5.LINUXVIRT.ORACLEVCN.COM@O6FB5.LINUXVIRT.ORACLEVCN.COM
    
  3. Rufen Sie eine Liste aller vorhandenen Benutzer auf dem FreeIPA-Server ab.

    ipa user-find
    

    Die Ergebnisse geben den Benutzer admin zurück, der derzeit der einzige Benutzer ist.

    Beispielausgabe:

    [oracle@freeipa ~]$ sudo ipa user-find
    --------------
    1 user matched
    --------------
      User login: admin
      Last name: Administrator
      Home directory: /home/admin
      Login shell: /bin/bash
      Principal alias: admin@O6FB5.LINUXVIRT.ORACLEVCN.COM, root@O6FB5.LINUXVIRT.ORACLEVCN.COM
      UID: 872200000
      GID: 872200000
      Account disabled: False
    ----------------------------
    Number of entries returned 1
    ----------------------------
    

Sicherheitseinstellungen und Härtung

Im Folgenden finden Sie einige Möglichkeiten, den FreeIPA-Server sicher zu verwenden.

Anonyme Bind-Vorgänge deaktivieren

Der LDAP-Server FreeIPA aktiviert anonyme Binds als Standard, sodass bestimmte Konfigurationseinstellungen und Verzeichniswerte verfügbar gemacht werden.

Das Attribut nsslapd-allow-anonymous-access steuert dieses Verhalten. Zulässige Werte:

Es wird empfohlen, rootdse anstelle von off zu verwenden, wenn anonyme Binds nicht zulässig sind, da die Verwendung von off auch verhindert, dass externe Clients die Serverkonfiguration prüfen. Nicht-Domainclients wie LDAP und Webclients stellen eine anonymisierte Verbindung her, indem sie die Root-DSE-Datei lesen, um Verbindungsdetails abzurufen.

  1. Prüfen Sie, ob anonyme Binds aktiviert sind.

    ldapsearch -x -h $(hostname -f) -b dc=$RND_SUBNET,dc=linuxvirt,dc=oraclevcn,dc=com
    
    • -x legt eine einfache oder anonyme Authentifizierung fest.
    • -h legt den LDAP-Serverhost fest.
    • -b legt den Basis-DN für die Suche fest.

    Die Schlüsseleinstellungen, einschließlich Basis-DN für den FreeIPA-Server, werden in der Datei /etc/ipa/default.conf gespeichert.

    $RND_SUBNET ist eine Umgebungsvariable, die in der freien Laborumgebung festgelegt ist und die zufällige Zeichenfolge mit 4 Zeichen im FQDN darstellt.

    Beispielausgabe:

    ...
    # Default SMB Group, groups, accounts, o6fb5.linuxvirt.oraclevcn.com
    dn: cn=Default SMB Group,cn=groups,cn=accounts,dc=o6fb5,dc=linuxvirt,dc=oraclevc
     n,dc=com
    cn: Default SMB Group
    description: Fallback group for primary group RID, do not add users to this gr
     oup
    objectClass: top
    objectClass: ipaobject
    objectClass: posixgroup
    objectClass: ipantgroupattrs
    ipaUniqueID: 0c9cf178-4324-11ed-bf0b-02001704fe22
    gidNumber: 921600001
    ipaNTSecurityIdentifier: S-1-5-21-2697967063-3375457457-2974965896-1001
      
    # search result
    search: 2
    result: 0 Success
      
    # numResponses: 110
    # numEntries: 109
    

    Die Suchergebnisse geben den gesamten Baum für das LDAP-Verzeichnis zurück.

  2. Ändern Sie die Konfiguration, und deaktivieren Sie anonyme Binds.

    Der Befehl ldapmodify akzeptiert entweder eine LDIF-Datei mit den zu treffenden Änderungen oder liest Vorgänge aus der Standardeingabe.

    1. Erstellen Sie die LDIF-Datei.

      cat << 'EOF' | tee ~/disable_anon_bind.ldif > /dev/null
      dn: cn=config
      changetype: modify
      replace: nsslapd-allow-anonymous-access
      nsslapd-allow-anonymous-access: rootdse
      EOF
      

      Sie können mehrere Attribute ändern, indem Sie sie mit einem Bindestrich (-) in einer Zeile durch sich selbst trennen. Jede weitere Änderung beginnt mit dem Attributänderungstyp und gibt die erforderlichen Attribute an.

    2. Wenden Sie die LDIF-Änderungen an.

      ldapmodify -x -D "cn=Directory Manager" -W -H ldap:// -ZZ -f ~/disable_anon_bind.ldif
      
      • -x legt eine einfache oder anonyme Authentifizierung fest.
      • -D legt den Bind-DN fest.
      • -W fordert zur Eingabe des LDAP-admin-Kennworts auf.
      • -H verwendet den LDAP Uniform Resource Identifier (URI) für die Anmeldung anstelle des LDAP-Serverhosts.
      • -ZZ startet eine TLS-Anforderung und erzwingt eine erfolgreiche Antwort.

      Hinweis: -ZZ ist aufgrund der Verwendung selbstsignierter Zertifikate erforderlich.

      Beispielausgabe:

      [oracle@freeipa ~]$ ldapmodify -x -D "cn=Directory Manager" -W -H ldap:// -ZZ -f ~/disable_anon_bind.ldif
      Enter LDAP Password: 
      modifying entry "cn=config"
      
    3. Starten Sie den FreeIPA-Server neu.

      sudo systemctl restart ipa.service
      
  3. Prüfen Sie die Änderung, indem Sie das Verzeichnis anonym abfragen.

    ldapsearch -x -h $(hostname -f) -b dc=$RND_SUBNET,dc=linuxvirt,dc=oraclevcn,dc=com
    

    Beachten Sie die Antwort Anonymous access is not allowed.

    Beispielausgabe:

    [oracle@freeipa ~]$ ldapsearch -x -h freeipa.o6fb5.linuxvirt.oraclevcn.com -b dc=o6fb5,dc=linuxvirt,dc=oraclevcn,dc=com
    # extended LDIF
    #
    # LDAPv3
    # base <dc=o6fb5,dc=linuxvirt,dc=oraclevcn,dc=com> with scope subtree
    # filter: (objectclass=*)
    # requesting: ALL
    #
      
    # search result
    search: 2
    result: 48 Inappropriate authentication
    text: Anonymous access is not allowed.
      
    # numResponses: 1
    
  4. Prüfen Sie, ob die Abfrage des Verzeichnisses mit der Authentifizierung funktioniert.

    ldapsearch -D uid=admin,cn=users,cn=accounts,dc=$RND_SUBNET,dc=linuxvirt,dc=oraclevcn,dc=com -W -H ldap://
    

    Beispielausgabe:

    ...
    # freeipa.o6fb5.linuxvirt.oraclevcn.com + 389, subordinate-ids, dna, ipa, etc, 
     o6fb5.linuxvirt.oraclevcn.com
    dn: dnaHostname=freeipa.o6fb5.linuxvirt.oraclevcn.com+dnaPortNum=389,cn=subord
     inate-ids,cn=dna,cn=ipa,cn=etc,dc=o6fb5,dc=linuxvirt,dc=oraclevcn,dc=com
    objectClass: dnaSharedConfig
    objectClass: top
    dnaHostname: freeipa.o6fb5.linuxvirt.oraclevcn.com
    dnaPortNum: 389
    dnaSecurePortNum: 636
    dnaRemainingValues: 32766
      
    # search result
    search: 2
    result: 0 Success
      
    # numResponses: 475
    # numEntries: 474
    

Prüfen, ob TLS aktiviert ist

Ab Oracle Linux 8 verwendet FreeIPA die systemweite Krypto-Policy. Weitere Einzelheiten finden Sie in der Manpage crypto-policies(7).

  1. Listen Sie die aktuelle systemweite Krypto-Policy auf.

    cat /etc/crypto-policies/config
    
  2. Listen Sie die Details der Krypto-Policy auf.

    cat /usr/share/crypto-policies/$(cat /etc/crypto-policies/config)/nss.txt
    

    Beispielausgabe:

    [oracle@freeipa ~]$ cat /usr/share/crypto-policies/$(cat /etc/crypto-policies/config)/nss.txt
    library=
    name=Policy
    NSS=flags=policyOnly,moduleDB
    config="disallow=ALL allow=HMAC-SHA256:HMAC-SHA1:HMAC-SHA384:HMAC-SHA512:CURVE25519:SECP256R1:SECP384R1:SECP521R1:aes256-gcm:chacha20-poly1305:aes256-cbc:aes128-gcm:aes128-cb   > c:SHA256:SHA384:SHA512:SHA224:ECDHE-RSA:ECDHE-ECDSA:RSA:DHE-RSA:ECDSA:RSA-PSS:RSA-PKCS:tls-version-min=tls1.2:dtls-version-min=dtls1.2:DH-MIN=2048:DSA-MIN=2048:RSA-MIN=2048"
    

    Beachten Sie, dass die DEFAULT-Policy mindestens TLS 1.2 verwendet.

Prüfen Sie den FreeIPA-Serverstatus.

Der FreeIPA-Server umfasst das ipactl-Utility, mit dem der Status konfigurierter Services angezeigt wird. Derselbe Utility kann auch den gesamten FreeIPA-Server starten, stoppen und neu starten. Wenn Sie einzelne Komponenten start, stop oder restart benötigen, verwenden Sie systemctl COMMAND name.service.

  1. Zeigen Sie den Status aller Services an.

    sudo ipactl status
    

    Beispielausgabe:

    [oracle@freeipa ~]$ sudo ipactl status
    Directory Service: RUNNING
    krb5kdc Service: RUNNING
    kadmin Service: RUNNING
    httpd Service: RUNNING
    ipa-custodia Service: RUNNING
    pki-tomcatd Service: RUNNING
    ipa-otpd Service: RUNNING
    ipa: INFO: The ipactl command was successful
    

    Verwenden Sie sudo ipactl --help, um zusätzliche Befehlsoptionen anzuzeigen.

Benutzer und Gruppen erstellen

Wenn die grundlegende Installation und Konfiguration des FreeIPA-Servers abgeschlossen ist, wird im nächsten Schritt das Identitätsmanagement behandelt, das aus dem Erstellen von Benutzern und Gruppen besteht. Generieren Sie zuvor ein Kerberos-Token.

  1. Generieren Sie ein Token für den Benutzer admin.

    kinit admin
    
  2. Rufen Sie eine Liste mit vorhandenen Token ab.

    klist
    

    Die Kerberos-Token sind standardmäßig 24 Stunden lang gültig. Da diese Befehle zuvor im Schritt "Zugriff auf die Befehlszeilenschnittstelle (CLI)" ausgeführt wurden, zeigt die Liste das ursprüngliche Token an, anstatt ein neues zu erstellen.

  3. Fügen Sie eine neue Benutzergruppe hinzu.

    FreeIPA definiert eine Benutzergruppe als eine Gruppe von Benutzern mit Standardkennwort-Policys, Berechtigungen und anderen Eigenschaften.

    Eine Benutzergruppe kann Folgendes umfassen:

    • Benutzer
    • andere Benutzergruppen
    • Externe Benutzer, die außerhalb von FreeIPA vorhanden sind

   ipa group-add foo

Beispielausgabe:

[oracle@freeipa ~]$ ipa group-add foo
-----------------
Added group "foo"
-----------------
  Group name: foo
  GID: 1326400003

Der FreeIPA-Server unterstützt drei Gruppentypen:

Die Gruppe foo ist eine POSIX-Benutzergruppe. Um einen anderen Gruppentyp anzugeben, verwenden Sie eine der folgenden Optionen:

   ipa group-find

Beispielausgabe:

[oracle@freeipa ~]$ ipa group-find
----------------
5 groups matched
----------------
  Group name: admins
  Description: Account administrators group
  GID: 1326400000
   
  Group name: editors
  Description: Limited admins who can edit other users
  GID: 1326400002
   
  Group name: foo
  GID: 1326400003
   
  Group name: ipausers
  Description: Default group for all users
  
  Group name: trust admins
  Description: Trusts administrators group
----------------------------
Number of entries returned 5
----------------------------

Der FreeIPA-Server erstellt die folgenden Benutzergruppen während der Installation.

Warnung: Löschen Sie die Gruppe admin nicht, da sie den Standardbenutzer admin enthält. Der FreeIPA-Server erfordert, dass die admin-Gruppe ordnungsgemäß ausgeführt wird.

  1. Neuen Benutzeraccount hinzufügen.

    ipa user-add
    

    Der Befehl führt ein interaktives Skript aus, das zur Eingabe der minimalen Daten auffordert, die FreeIPA zum Erstellen eines Benutzerkontos benötigt.

    Beispielausgabe:

    [oracle@freeipa ~]$ ipa user-add
    First name: Oracle
    Last name: User
    User login [ouser]: oracle
    -------------------
    Added user "oracle"
    -------------------
      User login: oracle
      First name: Oracle
      Last name: User
      Full name: Oracle User
      Display name: Oracle User
      Initials: OU
      Home directory: /home/oracle
      GECOS: Oracle User
      Login shell: /bin/sh
      Principal name: oracle@OD1F5.LINUXVIRT.ORACLEVCN.COM
      Principal alias: oracle@OD1F5.LINUXVIRT.ORACLEVCN.COM
      Email address: oracle@od1f5.linuxvirt.oraclevcn.com
      UID: 1326400004
      GID: 1326400004
      Password: False
      Member of groups: ipausers
      Kerberos keys available: False
    

    Alternativ dazu können Sie mit mehreren Optionen ein Benutzerkonto im nicht-interaktiven Modus erstellen. Um eine Liste der verfügbaren Optionen abzurufen, führen Sie ipa user-add --help aus.

  2. Fügen Sie den neuen Benutzer der neuen Benutzergruppe hinzu.

    ipa group-add-member foo --users=oracle
    

    Beispielausgabe:

    [oracle@freeipa ~]$ ipa group-add-member foo --users=oracle
      Group name: foo
      GID: 1326400003
      Member users: oracle
    -------------------------
    Number of members added 1
    -------------------------
    

Der ipa-Befehl bietet mehr Funktionalität als angezeigt wird. Um eine umfassende Liste zu erhalten, führen Sie ipa help commands aus.

Übersicht

Abschließend werden die Grundlagen der Installation und Verwendung des FreeIPA-Servers vorgestellt. Verwenden Sie die folgenden Links, oder lesen Sie die Produkthandbuchseiten, da FreeIPA viele zusätzliche Funktionen bietet, die über die hier behandelten Aspekte hinausgehen.

Weitere Informationen

Weitere zugehörige Ressourcen:

Weitere Lernressourcen

Sehen Sie sich weitere Übungen unter docs.oracle.com/learn an, oder greifen Sie auf weitere kostenlose Lerninhalte im Oracle Learning-Kanal YouTube zu. Besuchen Sie außerdem education.oracle.com/learning-explorer, um Oracle Learning Explorer zu werden.

Die Produktdokumentation finden Sie im Oracle Help Center.