Hinweis:

FreeIPA-Server unter Oracle Linux installieren

Einführung

FreeIPA ist ein Open-Source-Identitäts- und Authentifizierungsmanagementsystem für vernetzte Linux-Umgebungen. Der Server enthält den 389 Directory Server als zentralen Datenspeicher und bietet vollständige Multi-Master-Funktionalität LDAPv3.

Über den Anwendungsbereich dieses Tutorials hinaus bietet FreeIPA auch MIT Kerberos für die Single-Sign-On-Authentifizierung, die Dogtag Certificate Authority und die optionale Domainnamenverwaltung über einen ISC-Bind-Server.

In diesem Tutorial wird gezeigt, wie Sie FreeIPA installieren und das enthaltene LDAP-Verzeichnis konfigurieren.

Ziele

In diesem Tutorial erfahren Sie, wie Sie folgende Aktionen durchführen:

Voraussetzungen

Weitere Informationen zu den Anforderungen für FreeIPA finden Sie in der Upstream-Kurzanleitung.

Oracle Linux bereitstellen

Hinweis: Wenn Sie in Ihrem eigenen Mandanten ausgeführt werden, lesen Sie das Projekt linux-virt-labs GitHub README.md, und schließen Sie die Voraussetzungen ab, bevor Sie die Übungsumgebung bereitstellen.

  1. Öffnen Sie ein Terminal auf dem Luna Desktop.

  2. Klonen Sie das Projekt linux-virt-labs GitHub.

    git clone https://github.com/oracle-devrel/linux-virt-labs.git
    
  3. Wechseln Sie in das Arbeitsverzeichnis.

    cd linux-virt-labs/ol
    
  4. Installieren Sie die erforderlichen Sammlungen.

    ansible-galaxy collection install -r requirements.yml
    
  5. Aktualisieren Sie die Konfiguration der Oracle Linux-Instanz.

    cat << EOF | tee instances.yml > /dev/null
    compute_instances:
      1:
        instance_name: "freeipa"
        type: "server"
    EOF
    
  6. Bereitstellen der Übungsumgebung.

    ansible-playbook create_instance.yml -e localhost_python_interpreter="/usr/bin/python3.6" -e "@instances.yml" 
    

    Die kostenlose Übungsumgebung erfordert die zusätzliche Variable local_python_interpreter, die ansible_python_interpreter für Wiedergaben festlegt, die auf localhost ausgeführt werden. Diese Variable ist erforderlich, da die Umgebung das RPM-Package für das Oracle Cloud Infrastructure-SDK für Python unter den python3.6-Modulen installiert.

    Die Standard-Deployment-Ausprägung verwendet AMD-CPU und Oracle Linux 8. Um eine Intel CPU oder Oracle Linux 9 zu verwenden, fügen Sie dem Deployment-Befehl -e instance_shape="VM.Standard3.Flex" oder -e os_version="9" hinzu.

    Wichtig: Warten Sie, bis das Playbook erfolgreich ausgeführt wird, und erreichen Sie die Unterbrechungsaufgabe. In dieser Phase des Playbooks ist die Installation von Oracle Linux abgeschlossen, und die Instanzen sind bereit. Notieren Sie sich die vorherige Wiedergabe, in der die öffentlichen und privaten IP-Adressen der bereitgestellten Knoten und alle anderen Deployment-Informationen gedruckt werden, die während der Ausführung der Übung erforderlich sind.

Server-DNS-Konfiguration bestätigen

Der FreeIPA-Server erfordert ein funktionierendes DNS-Setup. Clients, die mit dem Befehlszeilentool ipa registriert sind, suchen den Server anhand der Parameter xmlrpc_url und domain, die in der Datei /etc/ipa/default.conf definiert sind.

  1. Öffnen Sie ein Terminal, und verbinden Sie sich über SSH mit der Freeipa-Instanz.

    ssh oracle@<ip_address_of_instance>
    
  2. Prüfen Sie den Hostnamen des Servers.

    sudo hostname
    

    Die Ausgabe darf localhost oder localhost6 nicht zurückgeben.

Bestätigen Sie den vollqualifizierten Domainnamen (FQDN).

FreeIPA ist auf 64 Zeichen für den FQDN beschränkt, den es während der Installation validiert. Wenn der FQDN mehr als 64 Zeichen umfasst, verwenden Sie sudo hostnamectl set-hostname NAME, wobei NAME der FQDN ist, um ihn zu kürzen.

  1. Prüfen Sie den FQDN und seine Länge.

    hostname -f
    
  2. Länge des FQDN abrufen

    echo $(hostname -f) | wc -m
    

Bestätigung der Namensauflösung.

  1. IP-Adresse des Servers abrufen.

    ip -4 -o addr show ens3 | grep -oP '(?<=inet\s)\d+(\.\d+){3}'
    

    Dabei ist ens3 der Name der Netzwerkschnittstelle auf dem System.

  2. Prüfen Sie die DNS-Weiterleitungskonfiguration.

    host $(hostname -f)
    

    Eine weitere Möglichkeit, die Weiterleitungs-DNS-Konfiguration zu prüfen, ist die Verwendung von dig +short $(hostname -f) A. Sowohl host als auch dig sind Teil des bind-utils-Packages, das verschiedene Utilitys zum Abfragen von DNS-Namensservern bereitstellt.

  3. Überprüfen Sie die Reverse DNS-Konfiguration (PTR-Datensätze).

    host $(hostname -i)
    

    Alternativ können Sie dig +short -x $(hostname -i) verwenden.

Öffnen der erforderlichen Firewallports

Für FreeIPA müssen mehrere Ports offen und verfügbar sein, um mit den Services kommunizieren zu können.

Service Ports Protokoll
HTTP/HTTPS 80.443 TCP
LDAP/LDAPs 389.636 TCP
Kerberos 88.464 TCP und UDP
DNS 53 TCP und UDP
NTP 123 UDP

Oracle Linux stellt den freeipa-4-Service bereit, um diese erforderlichen Ports zu öffnen. Einzelheiten finden Sie unter /usr/lib/firewalld/services/freeipa-4.xml. Der freeipa-4-Service ersetzt die veralteten Services freeipa-ldap und freeipa-ldaps.

  1. Fügen Sie den firewalld-Service hinzu.

    sudo firewall-cmd --permanent --add-service=freeipa-4
    
  2. Laden Sie den Firewalld-Service neu, damit die Änderungen wirksam werden.

    sudo firewall-cmd --reload
    

Erforderliche Packages installieren

  1. Aktivieren Sie den Modulstream und das Profil für FreeIPA.

    Oracle Linux 8:

    sudo dnf module enable -y idm:DL1
    

    Oracle Linux 9 und Oracle Linux 10:

    Bei Oracle Linux 9 ist nichts zu tun, da die FreeIPA-Packages Teil des AppStream-Repositorys sind.

  2. Installieren Sie die Packages für einen FreeIPA-Server ohne die integrierten DNS-Services.

    sudo dnf install -y ipa-server
    

    Hinweis: Die integrierten DNS-Services werden in diesem Tutorial nicht verwendet. Fügen Sie bei Bedarf das Package ipa-server-dns zur Installationsliste hinzu.

Installieren und Konfigurieren des FreeIPA-Servers

  1. Führen Sie das Installationsprogramm aus.

    sudo ipa-server-install
    

    Das Skript beginnt mit der Angabe des Speicherorts der Installationslogdatei und einer Zusammenfassung dessen, was der FreeIPA-Server enthält.

    Beispielausgabe:

    [oracle@freeipa ~]$ sudo ipa-server-install
       
    The log file for this installation can be found in /var/log/ipaserver-install.log
    ==============================================================================
    This program will set up the IPA Server.
    Version 4.9.8
       
    This includes:
      * Configure a stand-alone CA (dogtag) for certificate management
      * Configure the NTP client (chronyd)
      * Create and configure an instance of Directory Server
      * Create and configure a Kerberos Key Distribution Center (KDC)
      * Configure Apache (httpd)
      * Configure SID generation
      * Configure the KDC to enable PKINIT
    ...
    

    Das Skript verwendet dann mehrere Eingabeaufforderungen, um die Serverkonfiguration einzurichten. Das Terminal zeigt die Standardantwort auf den Prompt innerhalb der Klammern an, und wenn Sie Enter drücken, wird die Standardantwort akzeptiert.

  2. Übernehmen Sie die Standardantwort no, um den integrierten DNS-Service zu konfigurieren.

    Do you want to configure integrated DNS (BIND)? [no]:
    
  3. Übernehmen Sie die Default-Namen für Host, Domain und Realm.

    Dies sind die zu Beginn dieser Übung verifizierten Werte. Die empfohlene Konfiguration besteht darin, dass der Realm-Name mit dem primären DNS-Domänennamen in Großbuchstaben übereinstimmt.

    Enter the fully qualified domain name of the computer
    on which you're setting up server software. Using the form
    <hostname>.<domainname>
    Example: master.example.com.
       
       
    Server host name [freeipa.lv.vcn.oraclevcn.com]: 
       
    The domain name has been determined based on the host name.
       
    Please confirm the domain name [lv.vcn.oraclevcn.com]: 
       
    The kerberos protocol requires a Realm name to be defined.
    This is typically the domain name converted to uppercase.
       
    Please provide a realm name [LV.VCN.ORACLEVCN.COM]:
    
  4. Geben Sie die Kennwörter für den Directory Server-Superuser und den Benutzer FreeIPA admin ein, und bestätigen Sie sie.

    Der Directory Server-Superuser ist cn=Directory Manager im Verzeichnis zugeordnet.

    Certain directory server operations require an administrative user.
    This user is referred to as the Directory Manager and has full access
    to the Directory for system management tasks and will be added to the
    instance of directory server created for IPA.
    The password must be at least 8 characters long.
       
    Directory Manager password: 
    Password (confirm): 
       
    The IPA server requires an administrative user, named 'admin'.
    This user is a regular system account used for IPA server administration.
       
    IPA admin password: 
    Password (confirm): 
    
  5. Übernehmen Sie die Standardwerte für die Einstellung des NETBIOS-Domainnamens, und no für die Konfiguration der chronischen Domain.

    NetBIOS domain name [LV]: 
       
    Do you want to configure chrony with NTP server or pool address? [no]:
    
  6. Das Skript enthält eine Zusammenfassung der Serverkonfiguration.

  7. Geben Sie yes ein, um die Serverkonfiguration zu akzeptieren.

    Continue to configure the system with these values? [no]: yes
    
  8. Das Skript fährt mit der Konfiguration des Servers fort.

    Dieser Vorgang kann mehrere Minuten dauern.

    ...
    Client configuration complete.
    The ipa-client-install command was successful
       
    Please add records in this file to your DNS system: /tmp/ipa.system.records.mv9i0ec2.db
    ==============================================================================
    Setup complete
       
    Next steps:
    	1. You must make sure these network ports are open:
    		TCP Ports:
    		  * 80, 443: HTTP/HTTPS
    		  * 389, 636: LDAP/LDAPS
    		  * 88, 464: kerberos
    		UDP Ports:
    		  * 88, 464: kerberos
    		  * 123: ntp
       
    	2. You can now obtain a kerberos ticket using the command: 'kinit admin'
    	   This ticket will allow you to use the IPA tools (e.g., ipa user-add)
    	   and the web user interface.
       
    Be sure to back up the CA certificates stored in /root/cacert.p12
    These files are required to create replicas. The password for these
    files is the Directory Manager password
    The ipa-server-install command was successful
    

    Nach Abschluss stellt das Skript Folgendes bereit:

    • Eine Zusammenfassung.
    • Eine Liste der Datensätze, die dem DNS-System hinzugefügt werden sollen.
    • Empfehlung zum Sichern der generierten CA-Zertifikate.

    Die erforderlichen Netzwerkports sind bereits mit dem Service freeipa-4 firewalld geöffnet.

FreeIPA-Server testen

Die Installation von FreeIPA umfasst einen Befehlszeilenclient und einen WebUI für die Interaktion mit dem Server. Die Verwendung von WebUI liegt außerhalb des Geltungsbereichs dieses Tutorials.

Auf die Befehlszeilenschnittstelle (CLI) zugreifen

  1. Authentifizieren Sie den Benutzer admin für die Kerberos-Realm.

    kinit admin
    

    Wenn Sie dazu aufgefordert werden, geben Sie das Kennwort für den Benutzer admin ein, der während der Installations- und Konfigurationsschritte erstellt wurde. Der Befehl kinit generiert dann ein Kerberos-Ticket.

  2. Auflisten der Ticketinformationen

    klist
    

    Beispielausgabe:

    [oracle@freeipa ~]$ sudo klist
    Ticket cache: KCM:0
    Default principal: admin@LV.VCN.ORACLEVCN.COM
    
    Valid starting       Expires              Service principal
    09/28/2022 14:05:46  09/29/2022 13:05:53  krbtgt/LV.VCN.ORACLEVCN.COM@LV.VCN.ORACLEVCN.COM
    
  3. Ruft eine Liste aller vorhandenen Benutzer auf dem FreeIPA-Server ab.

    ipa user-find
    

    Die Ergebnisse geben den Benutzer admin zurück. Dies ist der einzige Benutzer, der derzeit vorhanden ist.

    Beispielausgabe:

    [oracle@freeipa ~]$ sudo ipa user-find
    --------------
    1 user matched
    --------------
      User login: admin
      Last name: Administrator
      Home directory: /home/admin
      Login shell: /bin/bash
      Principal alias: admin@LV.VCN.ORACLEVCN.COM, root@LV.VCN.ORACLEVCN.COM
      UID: 872200000
      GID: 872200000
      Account disabled: False
    ----------------------------
    Number of entries returned 1
    ----------------------------
    

Sicherheitseinstellungen und Härtung

Im Folgenden finden Sie einige Möglichkeiten, den FreeIPA-Server sicher zu verwenden.

Anonyme Binds deaktivieren

Der LDAP-Server FreeIPA ermöglicht anonyme Binds als Standard, wodurch bestimmte Konfigurationseinstellungen und Verzeichniswerte angezeigt werden.

Das Attribut nsslapd-allow-anonymous-access steuert dieses Verhalten. Zulässige Werte sind:

Die Empfehlung lautet, rootdse anstelle von off zu verwenden, wenn anonyme Binds nicht zulässig sind, da die Verwendung von off auch externe Clients daran hindert, die Serverkonfiguration zu prüfen. Nicht-Domain-Clients wie LDAP und Webclients verbinden sich anonym, indem sie die DSE-Root-Datei lesen, um Verbindungsdetails abzurufen.

  1. Prüfen Sie, ob anonyme Binds aktiviert sind.

    ldapsearch -x -h $(hostname -f) -b dc=lv,dc=vcn,dc=oraclevcn,dc=com
    
    • -x legt eine einfache oder anonyme Authentifizierung fest.
    • -h legt den LDAP-Serverhost fest.
    • -b legt das Basis-DN für die Suche fest.

    Die Schlüsseleinstellungen, einschließlich des Basis-DN für den FreeIPA-Server, werden in der Datei /etc/ipa/default.conf gespeichert.

    Beispielausgabe:

    ...
    # Default SMB Group, groups, accounts, lv.vcn.oraclevcn.com
    dn: cn=Default SMB Group,cn=groups,cn=accounts,dc=lv,dc=vcn,dc=oraclevc
     n,dc=com
    cn: Default SMB Group
    description: Fallback group for primary group RID, do not add users to this gr
     oup
    objectClass: top
    objectClass: ipaobject
    objectClass: posixgroup
    objectClass: ipantgroupattrs
    ipaUniqueID: 0c9cf178-4324-11ed-bf0b-02001704fe22
    gidNumber: 921600001
    ipaNTSecurityIdentifier: S-1-5-21-2697967063-3375457457-2974965896-1001
      
    # search result
    search: 2
    result: 0 Success
      
    # numResponses: 110
    # numEntries: 109
    

    Die Suchergebnisse geben den gesamten Baum für das LDAP-Verzeichnis zurück.

  2. Konfiguration ändern und anonyme Binds deaktivieren

    Der Befehl ldapmodify akzeptiert entweder eine LDIF-Datei mit den vorzunehmenden Änderungen oder liest Vorgänge aus der Standardeingabe.

    1. LDIF-Datei erstellen

      cat << 'EOF' | tee ~/disable_anon_bind.ldif > /dev/null
      dn: cn=config
      changetype: modify
      replace: nsslapd-allow-anonymous-access
      nsslapd-allow-anonymous-access: rootdse
      EOF
      

      Das Ändern mehrerer Attribute ist möglich, indem sie durch einen Bindestrich (-) in einer Zeile getrennt werden. Jede zusätzliche Änderung beginnt mit dem Attributänderungstyp und gibt die erforderlichen Attribute an.

    2. Wenden Sie die LDIF-Änderungen an.

      ldapmodify -x -D "cn=Directory Manager" -W -H ldap:// -ZZ -f ~/disable_anon_bind.ldif
      
      • -x legt eine einfache oder anonyme Authentifizierung fest.
      • -D legt das Bind-DN fest.
      • -W fordert Sie zur Eingabe des LDAP-Kennworts admin auf.
      • -H verwendet die LDAP Uniform Resource Identifier (URI) für die Verbindung und nicht den LDAP-Serverhost.
      • -ZZ startet eine TLS-Anforderung und erzwingt eine erfolgreiche Antwort.

      Hinweis: Die -ZZ ist aufgrund der Verwendung von selbstsignierten Zertifikaten erforderlich.

      Beispielausgabe:

      [oracle@freeipa ~]$ ldapmodify -x -D "cn=Directory Manager" -W -H ldap:// -ZZ -f ~/disable_anon_bind.ldif
      Enter LDAP Password: 
      modifying entry "cn=config"
      
    3. Starten Sie den FreeIPA-Server erneut.

      sudo systemctl restart ipa.service
      
  3. Prüfen Sie die Änderung, indem Sie das Verzeichnis anonym abfragen.

    ldapsearch -x -h $(hostname -f) -b dc=lv,dc=vcn,dc=oraclevcn,dc=com
    

    Beachten Sie die Antwort Anonymous access is not allowed.

    Beispielausgabe:

    [oracle@freeipa ~]$ ldapsearch -x -h freeipa.lv.vcn.oraclevcn.com -b dc=lv,dc=vcn,dc=oraclevcn,dc=com
    # extended LDIF
    #
    # LDAPv3
    # base <dc=lv,dc=vcn,dc=oraclevcn,dc=com> with scope subtree
    # filter: (objectclass=*)
    # requesting: ALL
    #
      
    # search result
    search: 2
    result: 48 Inappropriate authentication
    text: Anonymous access is not allowed.
      
    # numResponses: 1
    
  4. Überprüfen Sie, ob die Abfrage des Verzeichnisses mit der Authentifizierung funktioniert.

    ldapsearch -D uid=admin,cn=users,cn=accounts,dc=lv,dc=vcn,dc=oraclevcn,dc=com -W -H ldap://
    

    Beispielausgabe:

    ...
    # freeipa.lv.vcn.oraclevcn.com + 389, subordinate-ids, dna, ipa, etc, 
     lv.vcn.oraclevcn.com
    dn: dnaHostname=freeipa.lv.vcn.oraclevcn.com+dnaPortNum=389,cn=subord
     inate-ids,cn=dna,cn=ipa,cn=etc,dc=lv,dc=vcn,dc=oraclevcn,dc=com
    objectClass: dnaSharedConfig
    objectClass: top
    dnaHostname: freeipa.lv.vcn.oraclevcn.com
    dnaPortNum: 389
    dnaSecurePortNum: 636
    dnaRemainingValues: 32766
      
    # search result
    search: 2
    result: 0 Success
      
    # numResponses: 475
    # numEntries: 474
    

Prüfen, ob TLS aktiviert ist

Ab Oracle Linux 8 verwendet FreeIPA die systemweite Krypto-Policy. Weitere Informationen finden Sie auf der Manpage crypto-policies(7).

  1. Listen Sie die aktuelle systemweite Kryptorichtlinie auf.

    cat /etc/crypto-policies/config
    
  2. Listen Sie die Details der Krypto-Policy auf.

    cat /usr/share/crypto-policies/$(cat /etc/crypto-policies/config)/nss.txt
    

    Beispielausgabe:

    [oracle@freeipa ~]$ cat /usr/share/crypto-policies/$(cat /etc/crypto-policies/config)/nss.txt
    library=
    name=Policy
    NSS=flags=policyOnly,moduleDB
    config="disallow=ALL allow=HMAC-SHA256:HMAC-SHA1:HMAC-SHA384:HMAC-SHA512:CURVE25519:SECP256R1:SECP384R1:SECP521R1:aes256-gcm:chacha20-poly1305:aes256-cbc:aes128-gcm:aes128-cb   > c:SHA256:SHA384:SHA512:SHA224:ECDHE-RSA:ECDHE-ECDSA:RSA:DHE-RSA:ECDSA:RSA-PSS:RSA-PKCS:tls-version-min=tls1.2:dtls-version-min=dtls1.2:DH-MIN=2048:DSA-MIN=2048:RSA-MIN=2048"
    

    Beachten Sie, dass die DEFAULT-Policy mindestens TLS 1.2 verwendet.

Prüfen Sie den FreeIPA-Serverstatus

Der FreeIPA-Server enthält das Utility ipactl, um den Status der konfigurierten Services anzuzeigen. Das gleiche Utility kann auch den gesamten FreeIPA-Server starten, stoppen und neu starten. Wenn Sie einzelne Komponenten start, stop oder restart benötigen, verwenden Sie systemctl COMMAND name.service.

  1. Zeigt den Status aller Services an.

    sudo ipactl status
    

    Beispielausgabe:

    [oracle@freeipa ~]$ sudo ipactl status
    Directory Service: RUNNING
    krb5kdc Service: RUNNING
    kadmin Service: RUNNING
    httpd Service: RUNNING
    ipa-custodia Service: RUNNING
    pki-tomcatd Service: RUNNING
    ipa-otpd Service: RUNNING
    ipa: INFO: The ipactl command was successful
    

    Verwenden Sie sudo ipactl --help, um zusätzliche Befehlsoptionen anzuzeigen.

Benutzer und Gruppen erstellen

Nachdem die grundlegende Installation und Konfiguration des FreeIPA-Servers abgeschlossen ist, geht es im nächsten Schritt um das Identitätsmanagement, das aus dem Erstellen von Benutzern und Gruppen besteht. Generieren Sie dazu ein Kerberos-Token.

  1. Generieren Sie ein Token für den Benutzer admin.

    kinit admin
    
  2. Ruft eine Liste mit vorhandenen Token ab.

    klist
    

    Die Kerberos-Token sind standardmäßig für 24 Stunden gültig. Da diese Befehle bereits im Schritt "Zugriff auf die Befehlszeilenschnittstelle (CLI)" ausgeführt wurden, wird in der Liste das ursprüngliche Token angezeigt, anstatt ein neues zu erstellen.

  3. Fügen Sie eine neue Benutzergruppe hinzu.

    FreeIPA definiert eine Benutzergruppe als eine Gruppe von Benutzern mit Standardkennwort-Policys, -berechtigungen und anderen Eigenschaften.

    Eine Benutzergruppe kann Folgendes umfassen:

    • Benutzer
    • andere Benutzergruppen
    • Externe Benutzer, die außerhalb von FreeIPA existieren

   ipa group-add foo

Beispielausgabe:

[oracle@freeipa ~]$ ipa group-add foo
-----------------
Added group "foo"
-----------------
  Group name: foo
  GID: 1326400003

Der FreeIPA-Server unterstützt drei Gruppentypen:

Die Gruppe foo ist eine POSIX-Benutzergruppe. Um einen anderen Gruppentyp anzugeben, verwenden Sie eine der folgenden Optionen:

  1. Ruft eine Liste aller vorhandenen Benutzergruppen ab.

    ipa group-find
    

    Beispielausgabe:

    [oracle@freeipa ~]$ ipa group-find
    ----------------
    5 groups matched
    ----------------
      Group name: admins
      Description: Account administrators group
      GID: 1326400000
       
      Group name: editors
      Description: Limited admins who can edit other users
      GID: 1326400002
       
      Group name: foo
      GID: 1326400003
       
      Group name: ipausers
      Description: Default group for all users
      
      Group name: trust admins
      Description: Trusts administrators group
    ----------------------------
    Number of entries returned 5
    ----------------------------
    

    Der FreeIPA-Server erstellt während der Installation die folgenden Benutzergruppen.

    • admins
    • ipausers
    • trust admins

    Warnung: Löschen Sie die Gruppe admin nicht, da sie den Standardbenutzer admin enthält. Der FreeIPA-Server erfordert, dass die Gruppe admin ordnungsgemäß funktioniert.

  2. Fügen Sie einen neuen Benutzeraccount hinzu.

    ipa user-add
    

    Der Befehl führt ein interaktives Skript aus, das zur Eingabe des minimalen Datensets auffordert, das FreeIPA zum Erstellen eines Benutzeraccounts benötigt.

    Beispielausgabe:

    [oracle@freeipa ~]$ ipa user-add
    First name: Oracle
    Last name: User
    User login [ouser]: oracle
    -------------------
    Added user "oracle"
    -------------------
      User login: oracle
      First name: Oracle
      Last name: User
      Full name: Oracle User
      Display name: Oracle User
      Initials: OU
      Home directory: /home/oracle
      GECOS: Oracle User
      Login shell: /bin/sh
      Principal name: oracle@LV.VCN.ORACLEVCN.COM
      Principal alias: oracle@LV.VCN.ORACLEVCN.COM
      Email address: oracle@lv.vcn.oraclevcn.com
      UID: 1326400004
      GID: 1326400004
      Password: False
      Member of groups: ipausers
      Kerberos keys available: False
    

    Alternativ können Sie den Befehl mit mehreren Optionen ausführen, um ein Benutzerkonto in einem nicht interaktiven Modus zu erstellen. Um eine Liste der verfügbaren Optionen abzurufen, führen Sie ipa user-add --help aus.

  3. Fügen Sie den neuen Benutzer zur neuen Benutzergruppe hinzu.

    ipa group-add-member foo --users=oracle
    

    Beispielausgabe:

    [oracle@freeipa ~]$ ipa group-add-member foo --users=oracle
      Group name: foo
      GID: 1326400003
      Member users: oracle
    -------------------------
    Number of members added 1
    -------------------------
    

Der Befehl ipa verfügt über mehr Funktionalität als angezeigt. Um weitere Befehle zu erhalten, führen Sie ipa help commands aus, um eine umfassende Liste anzuzeigen.

Nächste Schritte

Abschließend werden die Grundlagen der Installation und Verwendung des FreeIPA-Servers vorgestellt. Erkunden Sie die folgenden Links oder lesen Sie sich die Produkthandbuchseiten durch, da FreeIPA viele zusätzliche Funktionen bietet, die über die hier behandelten Themen hinausgehen.

Weitere Lernressourcen

Sehen Sie sich weitere Übungen zu docs.oracle.com/learn an, oder greifen Sie auf weitere kostenlose Lerninhalte im Oracle Learning YouTube-Kanal zu. Besuchen Sie außerdem education.oracle.com/learning-explorer, um ein Oracle Learning Explorer zu werden.

Die Produktdokumentation finden Sie im Oracle Help Center.