Hinweis:

• Dieses Tutorial ist in einer von Oracle bereitgestellten kostenlosen Übungsumgebung verfügbar.
• Es verwendet Beispielwerte für Oracle Cloud Infrastructure-Zugangsdaten, -Mandanten und -Compartments. In der Übung ersetzen Sie diese Werte durch die Werte, die für Ihre Cloud-Umgebung spezifisch sind.

FreeIPA-Server unter Oracle Linux installieren

Einführung

FreeIPA ist ein Open-Source-Identitäts- und Authentifizierungsmanagementsystem für vernetzte Linux-Umgebungen. Der Server enthält den 389 Directory Server als zentralen Datenspeicher und bietet vollständige Multi-Master-Funktionalität LDAPv3.

Über den Anwendungsbereich dieses Tutorials hinaus bietet FreeIPA auch MIT Kerberos für die Single-Sign-On-Authentifizierung, die Dogtag Certificate Authority und die optionale Domainnamenverwaltung über einen ISC-Bind-Server.

In diesem Tutorial wird gezeigt, wie Sie FreeIPA installieren und das enthaltene LDAP-Verzeichnis konfigurieren.

Ziele

In diesem Tutorial erfahren Sie, wie Sie folgende Aktionen durchführen:

• FreeIPA-Server installieren
• Anonyme Binds deaktivieren
• Benutzer und Gruppen hinzufügen

Voraussetzungen

• Mindestens ein einziges Oracle Linux-System

• Auf jedem System muss Oracle Linux installiert und konfiguriert sein mit:

  • Ein Nicht-Root-Benutzerkonto mit Sudo-Zugriff
  • Zugriff auf das Internet
  • Ein FQDN (Fully Qualified Domain Name), der auf die IP-Adresse Ihres Servers verweist

Weitere Informationen zu den Anforderungen für FreeIPA finden Sie in der Upstream-Kurzanleitung.

Oracle Linux bereitstellen

Hinweis: Wenn Sie in Ihrem eigenen Mandanten ausgeführt werden, lesen Sie das Projekt linux-virt-labs GitHub README.md, und schließen Sie die Voraussetzungen ab, bevor Sie die Übungsumgebung bereitstellen.

1. Öffnen Sie ein Terminal auf dem Luna Desktop.

2. Klonen Sie das Projekt linux-virt-labs GitHub.

   git clone https://github.com/oracle-devrel/linux-virt-labs.git
   

3. Wechseln Sie in das Arbeitsverzeichnis.

   cd linux-virt-labs/ol
   

4. Installieren Sie die erforderlichen Sammlungen.

   ansible-galaxy collection install -r requirements.yml
   

5. Aktualisieren Sie die Konfiguration der Oracle Linux-Instanz.

   cat << EOF | tee instances.yml > /dev/null
   compute_instances:
     1:
       instance_name: "freeipa"
       type: "server"
   EOF
   

6. Bereitstellen der Übungsumgebung.

   ansible-playbook create_instance.yml -e localhost_python_interpreter="/usr/bin/python3.6" -e "@instances.yml" 
   

   Die kostenlose Übungsumgebung erfordert die zusätzliche Variable local_python_interpreter, die ansible_python_interpreter für Wiedergaben festlegt, die auf localhost ausgeführt werden. Diese Variable ist erforderlich, da die Umgebung das RPM-Package für das Oracle Cloud Infrastructure-SDK für Python unter den python3.6-Modulen installiert.

   Die Standard-Deployment-Ausprägung verwendet AMD-CPU und Oracle Linux 8. Um eine Intel CPU oder Oracle Linux 9 zu verwenden, fügen Sie dem Deployment-Befehl -e instance_shape="VM.Standard3.Flex" oder -e os_version="9" hinzu.

   Wichtig: Warten Sie, bis das Playbook erfolgreich ausgeführt wird, und erreichen Sie die Unterbrechungsaufgabe. In dieser Phase des Playbooks ist die Installation von Oracle Linux abgeschlossen, und die Instanzen sind bereit. Notieren Sie sich die vorherige Wiedergabe, in der die öffentlichen und privaten IP-Adressen der bereitgestellten Knoten und alle anderen Deployment-Informationen gedruckt werden, die während der Ausführung der Übung erforderlich sind.

Server-DNS-Konfiguration bestätigen

Der FreeIPA-Server erfordert ein funktionierendes DNS-Setup. Clients, die mit dem Befehlszeilentool ipa registriert sind, suchen den Server anhand der Parameter xmlrpc_url und domain, die in der Datei /etc/ipa/default.conf definiert sind.

1. Öffnen Sie ein Terminal, und verbinden Sie sich über SSH mit der Freeipa-Instanz.

   ssh oracle@<ip_address_of_instance>
   

2. Prüfen Sie den Hostnamen des Servers.

   sudo hostname
   

   Die Ausgabe darf localhost oder localhost6 nicht zurückgeben.

Bestätigen Sie den vollqualifizierten Domainnamen (FQDN).

FreeIPA ist auf 64 Zeichen für den FQDN beschränkt, den es während der Installation validiert. Wenn der FQDN mehr als 64 Zeichen umfasst, verwenden Sie sudo hostnamectl set-hostname NAME, wobei NAME der FQDN ist, um ihn zu kürzen.

1. Prüfen Sie den FQDN und seine Länge.

   hostname -f
   

2. Länge des FQDN abrufen

   echo $(hostname -f) | wc -m
   

Bestätigung der Namensauflösung.

1. IP-Adresse des Servers abrufen.

   ip -4 -o addr show ens3 | grep -oP '(?<=inet\s)\d+(\.\d+){3}'
   

   Dabei ist ens3 der Name der Netzwerkschnittstelle auf dem System.

2. Prüfen Sie die DNS-Weiterleitungskonfiguration.

   host $(hostname -f)
   

   Eine weitere Möglichkeit, die Weiterleitungs-DNS-Konfiguration zu prüfen, ist die Verwendung von dig +short $(hostname -f) A. Sowohl host als auch dig sind Teil des bind-utils-Packages, das verschiedene Utilitys zum Abfragen von DNS-Namensservern bereitstellt.

3. Überprüfen Sie die Reverse DNS-Konfiguration (PTR-Datensätze).

   host $(hostname -i)
   

   Alternativ können Sie dig +short -x $(hostname -i) verwenden.

Öffnen der erforderlichen Firewallports

Für FreeIPA müssen mehrere Ports offen und verfügbar sein, um mit den Services kommunizieren zu können.

Service	Ports	Protokoll
HTTP/HTTPS	80.443	TCP
LDAP/LDAPs	389.636	TCP
Kerberos	88.464	TCP und UDP
DNS	53	TCP und UDP
NTP	123	UDP

Oracle Linux stellt den freeipa-4-Service bereit, um diese erforderlichen Ports zu öffnen. Einzelheiten finden Sie unter /usr/lib/firewalld/services/freeipa-4.xml. Der freeipa-4-Service ersetzt die veralteten Services freeipa-ldap und freeipa-ldaps.

1. Fügen Sie den firewalld-Service hinzu.

   sudo firewall-cmd --permanent --add-service=freeipa-4
   

2. Laden Sie den Firewalld-Service neu, damit die Änderungen wirksam werden.

   sudo firewall-cmd --reload
   

Erforderliche Packages installieren

1. Aktivieren Sie den Modulstream und das Profil für FreeIPA.

   Oracle Linux 8:

   sudo dnf module enable -y idm:DL1
   

   Oracle Linux 9 und Oracle Linux 10:

   Bei Oracle Linux 9 ist nichts zu tun, da die FreeIPA-Packages Teil des AppStream-Repositorys sind.

2. Installieren Sie die Packages für einen FreeIPA-Server ohne die integrierten DNS-Services.

   sudo dnf install -y ipa-server
   

   Hinweis: Die integrierten DNS-Services werden in diesem Tutorial nicht verwendet. Fügen Sie bei Bedarf das Package ipa-server-dns zur Installationsliste hinzu.

Installieren und Konfigurieren des FreeIPA-Servers

1. Führen Sie das Installationsprogramm aus.

   sudo ipa-server-install
   

   Das Skript beginnt mit der Angabe des Speicherorts der Installationslogdatei und einer Zusammenfassung dessen, was der FreeIPA-Server enthält.

   Beispielausgabe:

   [oracle@freeipa ~]$ sudo ipa-server-install
      
   The log file for this installation can be found in /var/log/ipaserver-install.log
   ==============================================================================
   This program will set up the IPA Server.
   Version 4.9.8
      
   This includes:
     * Configure a stand-alone CA (dogtag) for certificate management
     * Configure the NTP client (chronyd)
     * Create and configure an instance of Directory Server
     * Create and configure a Kerberos Key Distribution Center (KDC)
     * Configure Apache (httpd)
     * Configure SID generation
     * Configure the KDC to enable PKINIT
   ...
   

   Das Skript verwendet dann mehrere Eingabeaufforderungen, um die Serverkonfiguration einzurichten. Das Terminal zeigt die Standardantwort auf den Prompt innerhalb der Klammern an, und wenn Sie Enter drücken, wird die Standardantwort akzeptiert.

2. Übernehmen Sie die Standardantwort no, um den integrierten DNS-Service zu konfigurieren.

   Do you want to configure integrated DNS (BIND)? [no]:
   

3. Übernehmen Sie die Default-Namen für Host, Domain und Realm.

   Dies sind die zu Beginn dieser Übung verifizierten Werte. Die empfohlene Konfiguration besteht darin, dass der Realm-Name mit dem primären DNS-Domänennamen in Großbuchstaben übereinstimmt.

   Enter the fully qualified domain name of the computer
   on which you're setting up server software. Using the form
   <hostname>.<domainname>
   Example: master.example.com.
      
      
   Server host name [freeipa.lv.vcn.oraclevcn.com]: 
      
   The domain name has been determined based on the host name.
      
   Please confirm the domain name [lv.vcn.oraclevcn.com]: 
      
   The kerberos protocol requires a Realm name to be defined.
   This is typically the domain name converted to uppercase.
      
   Please provide a realm name [LV.VCN.ORACLEVCN.COM]:
   

4. Geben Sie die Kennwörter für den Directory Server-Superuser und den Benutzer FreeIPA admin ein, und bestätigen Sie sie.

   Der Directory Server-Superuser ist cn=Directory Manager im Verzeichnis zugeordnet.

   Certain directory server operations require an administrative user.
   This user is referred to as the Directory Manager and has full access
   to the Directory for system management tasks and will be added to the
   instance of directory server created for IPA.
   The password must be at least 8 characters long.
      
   Directory Manager password: 
   Password (confirm): 
      
   The IPA server requires an administrative user, named 'admin'.
   This user is a regular system account used for IPA server administration.
      
   IPA admin password: 
   Password (confirm): 
   

5. Übernehmen Sie die Standardwerte für die Einstellung des NETBIOS-Domainnamens, und no für die Konfiguration der chronischen Domain.

   NetBIOS domain name [LV]: 
      
   Do you want to configure chrony with NTP server or pool address? [no]:
   

6. Das Skript enthält eine Zusammenfassung der Serverkonfiguration.

7. Geben Sie yes ein, um die Serverkonfiguration zu akzeptieren.

   Continue to configure the system with these values? [no]: yes
   

8. Das Skript fährt mit der Konfiguration des Servers fort.

   Dieser Vorgang kann mehrere Minuten dauern.

   ...
   Client configuration complete.
   The ipa-client-install command was successful
      
   Please add records in this file to your DNS system: /tmp/ipa.system.records.mv9i0ec2.db
   ==============================================================================
   Setup complete
      
   Next steps:
   	1. You must make sure these network ports are open:
   		TCP Ports:
   		  * 80, 443: HTTP/HTTPS
   		  * 389, 636: LDAP/LDAPS
   		  * 88, 464: kerberos
   		UDP Ports:
   		  * 88, 464: kerberos
   		  * 123: ntp
      
   	2. You can now obtain a kerberos ticket using the command: 'kinit admin'
   	   This ticket will allow you to use the IPA tools (e.g., ipa user-add)
   	   and the web user interface.
      
   Be sure to back up the CA certificates stored in /root/cacert.p12
   These files are required to create replicas. The password for these
   files is the Directory Manager password
   The ipa-server-install command was successful
   

   Nach Abschluss stellt das Skript Folgendes bereit:

   • Eine Zusammenfassung.
   • Eine Liste der Datensätze, die dem DNS-System hinzugefügt werden sollen.
   • Empfehlung zum Sichern der generierten CA-Zertifikate.

   Die erforderlichen Netzwerkports sind bereits mit dem Service freeipa-4 firewalld geöffnet.

FreeIPA-Server testen

Die Installation von FreeIPA umfasst einen Befehlszeilenclient und einen WebUI für die Interaktion mit dem Server. Die Verwendung von WebUI liegt außerhalb des Geltungsbereichs dieses Tutorials.

Auf die Befehlszeilenschnittstelle (CLI) zugreifen

1. Authentifizieren Sie den Benutzer admin für die Kerberos-Realm.

   kinit admin
   

   Wenn Sie dazu aufgefordert werden, geben Sie das Kennwort für den Benutzer admin ein, der während der Installations- und Konfigurationsschritte erstellt wurde. Der Befehl kinit generiert dann ein Kerberos-Ticket.

2. Auflisten der Ticketinformationen

   klist
   

   Beispielausgabe:

   [oracle@freeipa ~]$ sudo klist
   Ticket cache: KCM:0
   Default principal: admin@LV.VCN.ORACLEVCN.COM
   
   Valid starting       Expires              Service principal
   09/28/2022 14:05:46  09/29/2022 13:05:53  krbtgt/LV.VCN.ORACLEVCN.COM@LV.VCN.ORACLEVCN.COM
   

3. Ruft eine Liste aller vorhandenen Benutzer auf dem FreeIPA-Server ab.

   ipa user-find
   

   Die Ergebnisse geben den Benutzer admin zurück. Dies ist der einzige Benutzer, der derzeit vorhanden ist.

   Beispielausgabe:

   [oracle@freeipa ~]$ sudo ipa user-find
   --------------
   1 user matched
   --------------
     User login: admin
     Last name: Administrator
     Home directory: /home/admin
     Login shell: /bin/bash
     Principal alias: admin@LV.VCN.ORACLEVCN.COM, root@LV.VCN.ORACLEVCN.COM
     UID: 872200000
     GID: 872200000
     Account disabled: False
   ----------------------------
   Number of entries returned 1
   ----------------------------
   

Sicherheitseinstellungen und Härtung

Im Folgenden finden Sie einige Möglichkeiten, den FreeIPA-Server sicher zu verwenden.

Anonyme Binds deaktivieren

Der LDAP-Server FreeIPA ermöglicht anonyme Binds als Standard, wodurch bestimmte Konfigurationseinstellungen und Verzeichniswerte angezeigt werden.

Das Attribut nsslapd-allow-anonymous-access steuert dieses Verhalten. Zulässige Werte sind:

• on: Ermöglicht alle anonymen Binds (Standard)
• rootdse: Ermöglicht anonyme Binds nur für Root-DSE-Informationen
• off: Keine anonymen Binds zulässig

Die Empfehlung lautet, rootdse anstelle von off zu verwenden, wenn anonyme Binds nicht zulässig sind, da die Verwendung von off auch externe Clients daran hindert, die Serverkonfiguration zu prüfen. Nicht-Domain-Clients wie LDAP und Webclients verbinden sich anonym, indem sie die DSE-Root-Datei lesen, um Verbindungsdetails abzurufen.

1. Prüfen Sie, ob anonyme Binds aktiviert sind.

   ldapsearch -x -h $(hostname -f) -b dc=lv,dc=vcn,dc=oraclevcn,dc=com
   

   • -x legt eine einfache oder anonyme Authentifizierung fest.
   • -h legt den LDAP-Serverhost fest.
   • -b legt das Basis-DN für die Suche fest.

   Die Schlüsseleinstellungen, einschließlich des Basis-DN für den FreeIPA-Server, werden in der Datei /etc/ipa/default.conf gespeichert.

   Beispielausgabe:

   ...
   # Default SMB Group, groups, accounts, lv.vcn.oraclevcn.com
   dn: cn=Default SMB Group,cn=groups,cn=accounts,dc=lv,dc=vcn,dc=oraclevc
    n,dc=com
   cn: Default SMB Group
   description: Fallback group for primary group RID, do not add users to this gr
    oup
   objectClass: top
   objectClass: ipaobject
   objectClass: posixgroup
   objectClass: ipantgroupattrs
   ipaUniqueID: 0c9cf178-4324-11ed-bf0b-02001704fe22
   gidNumber: 921600001
   ipaNTSecurityIdentifier: S-1-5-21-2697967063-3375457457-2974965896-1001
     
   # search result
   search: 2
   result: 0 Success
     
   # numResponses: 110
   # numEntries: 109
   

   Die Suchergebnisse geben den gesamten Baum für das LDAP-Verzeichnis zurück.

2. Konfiguration ändern und anonyme Binds deaktivieren

   Der Befehl ldapmodify akzeptiert entweder eine LDIF-Datei mit den vorzunehmenden Änderungen oder liest Vorgänge aus der Standardeingabe.

   1. LDIF-Datei erstellen

      cat << 'EOF' | tee ~/disable_anon_bind.ldif > /dev/null
      dn: cn=config
      changetype: modify
      replace: nsslapd-allow-anonymous-access
      nsslapd-allow-anonymous-access: rootdse
      EOF
      

      Das Ändern mehrerer Attribute ist möglich, indem sie durch einen Bindestrich (-) in einer Zeile getrennt werden. Jede zusätzliche Änderung beginnt mit dem Attributänderungstyp und gibt die erforderlichen Attribute an.

   2. Wenden Sie die LDIF-Änderungen an.

      ldapmodify -x -D "cn=Directory Manager" -W -H ldap:// -ZZ -f ~/disable_anon_bind.ldif
      

      • -x legt eine einfache oder anonyme Authentifizierung fest.
      • -D legt das Bind-DN fest.
      • -W fordert Sie zur Eingabe des LDAP-Kennworts admin auf.
      • -H verwendet die LDAP Uniform Resource Identifier (URI) für die Verbindung und nicht den LDAP-Serverhost.
      • -ZZ startet eine TLS-Anforderung und erzwingt eine erfolgreiche Antwort.

      Hinweis: Die -ZZ ist aufgrund der Verwendung von selbstsignierten Zertifikaten erforderlich.

      Beispielausgabe:

      [oracle@freeipa ~]$ ldapmodify -x -D "cn=Directory Manager" -W -H ldap:// -ZZ -f ~/disable_anon_bind.ldif
      Enter LDAP Password: 
      modifying entry "cn=config"
      

   3. Starten Sie den FreeIPA-Server erneut.

      sudo systemctl restart ipa.service
      

3. Prüfen Sie die Änderung, indem Sie das Verzeichnis anonym abfragen.

   ldapsearch -x -h $(hostname -f) -b dc=lv,dc=vcn,dc=oraclevcn,dc=com
   

   Beachten Sie die Antwort Anonymous access is not allowed.

   Beispielausgabe:

   [oracle@freeipa ~]$ ldapsearch -x -h freeipa.lv.vcn.oraclevcn.com -b dc=lv,dc=vcn,dc=oraclevcn,dc=com
   # extended LDIF
   #
   # LDAPv3
   # base <dc=lv,dc=vcn,dc=oraclevcn,dc=com> with scope subtree
   # filter: (objectclass=*)
   # requesting: ALL
   #
     
   # search result
   search: 2
   result: 48 Inappropriate authentication
   text: Anonymous access is not allowed.
     
   # numResponses: 1
   

4. Überprüfen Sie, ob die Abfrage des Verzeichnisses mit der Authentifizierung funktioniert.

   ldapsearch -D uid=admin,cn=users,cn=accounts,dc=lv,dc=vcn,dc=oraclevcn,dc=com -W -H ldap://
   

   Beispielausgabe:

   ...
   # freeipa.lv.vcn.oraclevcn.com + 389, subordinate-ids, dna, ipa, etc, 
    lv.vcn.oraclevcn.com
   dn: dnaHostname=freeipa.lv.vcn.oraclevcn.com+dnaPortNum=389,cn=subord
    inate-ids,cn=dna,cn=ipa,cn=etc,dc=lv,dc=vcn,dc=oraclevcn,dc=com
   objectClass: dnaSharedConfig
   objectClass: top
   dnaHostname: freeipa.lv.vcn.oraclevcn.com
   dnaPortNum: 389
   dnaSecurePortNum: 636
   dnaRemainingValues: 32766
     
   # search result
   search: 2
   result: 0 Success
     
   # numResponses: 475
   # numEntries: 474
   

Prüfen, ob TLS aktiviert ist

Ab Oracle Linux 8 verwendet FreeIPA die systemweite Krypto-Policy. Weitere Informationen finden Sie auf der Manpage crypto-policies(7).

1. Listen Sie die aktuelle systemweite Kryptorichtlinie auf.

   cat /etc/crypto-policies/config
   

2. Listen Sie die Details der Krypto-Policy auf.

   cat /usr/share/crypto-policies/$(cat /etc/crypto-policies/config)/nss.txt
   

   Beispielausgabe:

   [oracle@freeipa ~]$ cat /usr/share/crypto-policies/$(cat /etc/crypto-policies/config)/nss.txt
   library=
   name=Policy
   NSS=flags=policyOnly,moduleDB
   config="disallow=ALL allow=HMAC-SHA256:HMAC-SHA1:HMAC-SHA384:HMAC-SHA512:CURVE25519:SECP256R1:SECP384R1:SECP521R1:aes256-gcm:chacha20-poly1305:aes256-cbc:aes128-gcm:aes128-cb   > c:SHA256:SHA384:SHA512:SHA224:ECDHE-RSA:ECDHE-ECDSA:RSA:DHE-RSA:ECDSA:RSA-PSS:RSA-PKCS:tls-version-min=tls1.2:dtls-version-min=dtls1.2:DH-MIN=2048:DSA-MIN=2048:RSA-MIN=2048"
   

   Beachten Sie, dass die DEFAULT-Policy mindestens TLS 1.2 verwendet.

Prüfen Sie den FreeIPA-Serverstatus

Der FreeIPA-Server enthält das Utility ipactl, um den Status der konfigurierten Services anzuzeigen. Das gleiche Utility kann auch den gesamten FreeIPA-Server starten, stoppen und neu starten. Wenn Sie einzelne Komponenten start, stop oder restart benötigen, verwenden Sie systemctl COMMAND name.service.

1. Zeigt den Status aller Services an.

   sudo ipactl status
   

   Beispielausgabe:

   [oracle@freeipa ~]$ sudo ipactl status
   Directory Service: RUNNING
   krb5kdc Service: RUNNING
   kadmin Service: RUNNING
   httpd Service: RUNNING
   ipa-custodia Service: RUNNING
   pki-tomcatd Service: RUNNING
   ipa-otpd Service: RUNNING
   ipa: INFO: The ipactl command was successful
   

   Verwenden Sie sudo ipactl --help, um zusätzliche Befehlsoptionen anzuzeigen.

Benutzer und Gruppen erstellen

Nachdem die grundlegende Installation und Konfiguration des FreeIPA-Servers abgeschlossen ist, geht es im nächsten Schritt um das Identitätsmanagement, das aus dem Erstellen von Benutzern und Gruppen besteht. Generieren Sie dazu ein Kerberos-Token.

1. Generieren Sie ein Token für den Benutzer admin.

   kinit admin
   

2. Ruft eine Liste mit vorhandenen Token ab.

   klist
   

   Die Kerberos-Token sind standardmäßig für 24 Stunden gültig. Da diese Befehle bereits im Schritt "Zugriff auf die Befehlszeilenschnittstelle (CLI)" ausgeführt wurden, wird in der Liste das ursprüngliche Token angezeigt, anstatt ein neues zu erstellen.

3. Fügen Sie eine neue Benutzergruppe hinzu.

   FreeIPA definiert eine Benutzergruppe als eine Gruppe von Benutzern mit Standardkennwort-Policys, -berechtigungen und anderen Eigenschaften.

   Eine Benutzergruppe kann Folgendes umfassen:

   • Benutzer
   • andere Benutzergruppen
   • Externe Benutzer, die außerhalb von FreeIPA existieren

---

   ipa group-add foo

Beispielausgabe:

[oracle@freeipa ~]$ ipa group-add foo
-----------------
Added group "foo"
-----------------
  Group name: foo
  GID: 1326400003

Der FreeIPA-Server unterstützt drei Gruppentypen:

• POSIX (Standard)
• Nicht-POSIX
• Extern

Die Gruppe foo ist eine POSIX-Benutzergruppe. Um einen anderen Gruppentyp anzugeben, verwenden Sie eine der folgenden Optionen:

• --nonposix zum Erstellen einer Nicht-POSIX-Gruppe
• --external zum Erstellen einer externen Gruppe

1. Ruft eine Liste aller vorhandenen Benutzergruppen ab.

   ipa group-find
   

   Beispielausgabe:

   [oracle@freeipa ~]$ ipa group-find
   ----------------
   5 groups matched
   ----------------
     Group name: admins
     Description: Account administrators group
     GID: 1326400000
      
     Group name: editors
     Description: Limited admins who can edit other users
     GID: 1326400002
      
     Group name: foo
     GID: 1326400003
      
     Group name: ipausers
     Description: Default group for all users
     
     Group name: trust admins
     Description: Trusts administrators group
   ----------------------------
   Number of entries returned 5
   ----------------------------
   

   Der FreeIPA-Server erstellt während der Installation die folgenden Benutzergruppen.

   • admins
   • ipausers
   • trust admins

   Warnung: Löschen Sie die Gruppe admin nicht, da sie den Standardbenutzer admin enthält. Der FreeIPA-Server erfordert, dass die Gruppe admin ordnungsgemäß funktioniert.

2. Fügen Sie einen neuen Benutzeraccount hinzu.

   ipa user-add
   

   Der Befehl führt ein interaktives Skript aus, das zur Eingabe des minimalen Datensets auffordert, das FreeIPA zum Erstellen eines Benutzeraccounts benötigt.

   Beispielausgabe:

   [oracle@freeipa ~]$ ipa user-add
   First name: Oracle
   Last name: User
   User login [ouser]: oracle
   -------------------
   Added user "oracle"
   -------------------
     User login: oracle
     First name: Oracle
     Last name: User
     Full name: Oracle User
     Display name: Oracle User
     Initials: OU
     Home directory: /home/oracle
     GECOS: Oracle User
     Login shell: /bin/sh
     Principal name: oracle@LV.VCN.ORACLEVCN.COM
     Principal alias: oracle@LV.VCN.ORACLEVCN.COM
     Email address: oracle@lv.vcn.oraclevcn.com
     UID: 1326400004
     GID: 1326400004
     Password: False
     Member of groups: ipausers
     Kerberos keys available: False
   

   Alternativ können Sie den Befehl mit mehreren Optionen ausführen, um ein Benutzerkonto in einem nicht interaktiven Modus zu erstellen. Um eine Liste der verfügbaren Optionen abzurufen, führen Sie ipa user-add --help aus.

3. Fügen Sie den neuen Benutzer zur neuen Benutzergruppe hinzu.

   ipa group-add-member foo --users=oracle
   

   Beispielausgabe:

   [oracle@freeipa ~]$ ipa group-add-member foo --users=oracle
     Group name: foo
     GID: 1326400003
     Member users: oracle
   -------------------------
   Number of members added 1
   -------------------------
   

Der Befehl ipa verfügt über mehr Funktionalität als angezeigt. Um weitere Befehle zu erhalten, führen Sie ipa help commands aus, um eine umfassende Liste anzuzeigen.

Nächste Schritte

Abschließend werden die Grundlagen der Installation und Verwendung des FreeIPA-Servers vorgestellt. Erkunden Sie die folgenden Links oder lesen Sie sich die Produkthandbuchseiten durch, da FreeIPA viele zusätzliche Funktionen bietet, die über die hier behandelten Themen hinausgehen.

Verwandte Links

• Upstream-Dokumentation FreeIPA
• Oracle-Dokumentation
• Oracle Linux-Schulungsstation

Weitere Lernressourcen

Sehen Sie sich weitere Übungen zu docs.oracle.com/learn an, oder greifen Sie auf weitere kostenlose Lerninhalte im Oracle Learning YouTube-Kanal zu. Besuchen Sie außerdem education.oracle.com/learning-explorer, um ein Oracle Learning Explorer zu werden.

Die Produktdokumentation finden Sie im Oracle Help Center.

---

Titel und Copyright-Informationen

Install FreeIPA Server on Oracle Linux

F71555-02

Copyright ©2022,

Oracle und/oder verbundene Unternehmen.