Hinweis:
- Dieses Tutorial ist in einer von Oracle bereitgestellten kostenlosen Übungsumgebung verfügbar.
- Es verwendet Beispielwerte für Oracle Cloud Infrastructure-Zugangsdaten, -Mandanten und -Compartments. In der Übung ersetzen Sie diese Werte durch die Werte, die für Ihre Cloud-Umgebung spezifisch sind.
FreeIPA-Server unter Oracle Linux installieren
Einführung
FreeIPA ist ein Open-Source-Identitäts- und Authentifizierungsmanagementsystem für vernetzte Linux-Umgebungen. Der Server enthält den 389 Directory Server als zentralen Datenspeicher und bietet vollständige Multi-Master-Funktionalität LDAPv3.
Über den Anwendungsbereich dieses Tutorials hinaus bietet FreeIPA auch MIT Kerberos für die Single-Sign-On-Authentifizierung, die Dogtag Certificate Authority und die optionale Domainnamenverwaltung über einen ISC-Bind-Server.
In diesem Tutorial wird gezeigt, wie Sie FreeIPA installieren und das enthaltene LDAP-Verzeichnis konfigurieren.
Ziele
In diesem Tutorial erfahren Sie, wie Sie folgende Aktionen durchführen:
- FreeIPA-Server installieren
- Anonyme Binds deaktivieren
- Benutzer und Gruppen hinzufügen
Voraussetzungen
-
Mindestens ein einziges Oracle Linux-System
-
Auf jedem System muss Oracle Linux installiert und konfiguriert sein mit:
- Ein Nicht-Root-Benutzerkonto mit Sudo-Zugriff
- Zugriff auf das Internet
- Ein FQDN (Fully Qualified Domain Name), der auf die IP-Adresse Ihres Servers verweist
Weitere Informationen zu den Anforderungen für FreeIPA finden Sie in der Upstream-Kurzanleitung.
Oracle Linux bereitstellen
Hinweis: Wenn Sie in Ihrem eigenen Mandanten ausgeführt werden, lesen Sie das Projekt linux-virt-labs
GitHub README.md, und schließen Sie die Voraussetzungen ab, bevor Sie die Übungsumgebung bereitstellen.
-
Öffnen Sie ein Terminal auf dem Luna Desktop.
-
Klonen Sie das Projekt
linux-virt-labs
GitHub.git clone https://github.com/oracle-devrel/linux-virt-labs.git
-
Wechseln Sie in das Arbeitsverzeichnis.
cd linux-virt-labs/ol
-
Installieren Sie die erforderlichen Sammlungen.
ansible-galaxy collection install -r requirements.yml
-
Aktualisieren Sie die Konfiguration der Oracle Linux-Instanz.
cat << EOF | tee instances.yml > /dev/null compute_instances: 1: instance_name: "freeipa" type: "server" EOF
-
Bereitstellen der Übungsumgebung.
ansible-playbook create_instance.yml -e localhost_python_interpreter="/usr/bin/python3.6" -e "@instances.yml"
Die kostenlose Übungsumgebung erfordert die zusätzliche Variable
local_python_interpreter
, dieansible_python_interpreter
für Wiedergaben festlegt, die auf localhost ausgeführt werden. Diese Variable ist erforderlich, da die Umgebung das RPM-Package für das Oracle Cloud Infrastructure-SDK für Python unter den python3.6-Modulen installiert.Die Standard-Deployment-Ausprägung verwendet AMD-CPU und Oracle Linux 8. Um eine Intel CPU oder Oracle Linux 9 zu verwenden, fügen Sie dem Deployment-Befehl
-e instance_shape="VM.Standard3.Flex"
oder-e os_version="9"
hinzu.Wichtig: Warten Sie, bis das Playbook erfolgreich ausgeführt wird, und erreichen Sie die Unterbrechungsaufgabe. In dieser Phase des Playbooks ist die Installation von Oracle Linux abgeschlossen, und die Instanzen sind bereit. Notieren Sie sich die vorherige Wiedergabe, in der die öffentlichen und privaten IP-Adressen der bereitgestellten Knoten und alle anderen Deployment-Informationen gedruckt werden, die während der Ausführung der Übung erforderlich sind.
Server-DNS-Konfiguration bestätigen
Der FreeIPA-Server erfordert ein funktionierendes DNS-Setup. Clients, die mit dem Befehlszeilentool ipa
registriert sind, suchen den Server anhand der Parameter xmlrpc_url
und domain
, die in der Datei /etc/ipa/default.conf
definiert sind.
-
Öffnen Sie ein Terminal, und verbinden Sie sich über SSH mit der Freeipa-Instanz.
ssh oracle@<ip_address_of_instance>
-
Prüfen Sie den Hostnamen des Servers.
sudo hostname
Die Ausgabe darf
localhost
oderlocalhost6
nicht zurückgeben.
Bestätigen Sie den vollqualifizierten Domainnamen (FQDN).
FreeIPA ist auf 64 Zeichen für den FQDN beschränkt, den es während der Installation validiert. Wenn der FQDN mehr als 64 Zeichen umfasst, verwenden Sie sudo hostnamectl set-hostname NAME
, wobei NAME
der FQDN ist, um ihn zu kürzen.
-
Prüfen Sie den FQDN und seine Länge.
hostname -f
-
Länge des FQDN abrufen
echo $(hostname -f) | wc -m
Bestätigung der Namensauflösung.
-
IP-Adresse des Servers abrufen.
ip -4 -o addr show ens3 | grep -oP '(?<=inet\s)\d+(\.\d+){3}'
Dabei ist
ens3
der Name der Netzwerkschnittstelle auf dem System. -
Prüfen Sie die DNS-Weiterleitungskonfiguration.
host $(hostname -f)
Eine weitere Möglichkeit, die Weiterleitungs-DNS-Konfiguration zu prüfen, ist die Verwendung von
dig +short $(hostname -f) A
. Sowohlhost
als auchdig
sind Teil desbind-utils
-Packages, das verschiedene Utilitys zum Abfragen von DNS-Namensservern bereitstellt. -
Überprüfen Sie die Reverse DNS-Konfiguration (PTR-Datensätze).
host $(hostname -i)
Alternativ können Sie
dig +short -x $(hostname -i)
verwenden.
Öffnen der erforderlichen Firewallports
Für FreeIPA müssen mehrere Ports offen und verfügbar sein, um mit den Services kommunizieren zu können.
Service | Ports | Protokoll |
---|---|---|
HTTP/HTTPS | 80.443 | TCP |
LDAP/LDAPs | 389.636 | TCP |
Kerberos | 88.464 | TCP und UDP |
DNS | 53 | TCP und UDP |
NTP | 123 | UDP |
Oracle Linux stellt den freeipa-4
-Service bereit, um diese erforderlichen Ports zu öffnen. Einzelheiten finden Sie unter /usr/lib/firewalld/services/freeipa-4.xml
. Der freeipa-4
-Service ersetzt die veralteten Services freeipa-ldap
und freeipa-ldaps
.
-
Fügen Sie den
firewalld
-Service hinzu.sudo firewall-cmd --permanent --add-service=freeipa-4
-
Laden Sie den Firewalld-Service neu, damit die Änderungen wirksam werden.
sudo firewall-cmd --reload
Erforderliche Packages installieren
-
Aktivieren Sie den Modulstream und das Profil für FreeIPA.
Oracle Linux 8:
sudo dnf module enable -y idm:DL1
Oracle Linux 9 und Oracle Linux 10:
Bei Oracle Linux 9 ist nichts zu tun, da die FreeIPA-Packages Teil des AppStream-Repositorys sind.
-
Installieren Sie die Packages für einen FreeIPA-Server ohne die integrierten DNS-Services.
sudo dnf install -y ipa-server
Hinweis: Die integrierten DNS-Services werden in diesem Tutorial nicht verwendet. Fügen Sie bei Bedarf das Package
ipa-server-dns
zur Installationsliste hinzu.
Installieren und Konfigurieren des FreeIPA-Servers
-
Führen Sie das Installationsprogramm aus.
sudo ipa-server-install
Das Skript beginnt mit der Angabe des Speicherorts der Installationslogdatei und einer Zusammenfassung dessen, was der FreeIPA-Server enthält.
Beispielausgabe:
[oracle@freeipa ~]$ sudo ipa-server-install The log file for this installation can be found in /var/log/ipaserver-install.log ============================================================================== This program will set up the IPA Server. Version 4.9.8 This includes: * Configure a stand-alone CA (dogtag) for certificate management * Configure the NTP client (chronyd) * Create and configure an instance of Directory Server * Create and configure a Kerberos Key Distribution Center (KDC) * Configure Apache (httpd) * Configure SID generation * Configure the KDC to enable PKINIT ...
Das Skript verwendet dann mehrere Eingabeaufforderungen, um die Serverkonfiguration einzurichten. Das Terminal zeigt die Standardantwort auf den Prompt innerhalb der Klammern an, und wenn Sie
Enter
drücken, wird die Standardantwort akzeptiert. -
Übernehmen Sie die Standardantwort
no
, um den integrierten DNS-Service zu konfigurieren.Do you want to configure integrated DNS (BIND)? [no]:
-
Übernehmen Sie die Default-Namen für Host, Domain und Realm.
Dies sind die zu Beginn dieser Übung verifizierten Werte. Die empfohlene Konfiguration besteht darin, dass der Realm-Name mit dem primären DNS-Domänennamen in Großbuchstaben übereinstimmt.
Enter the fully qualified domain name of the computer on which you're setting up server software. Using the form <hostname>.<domainname> Example: master.example.com. Server host name [freeipa.lv.vcn.oraclevcn.com]: The domain name has been determined based on the host name. Please confirm the domain name [lv.vcn.oraclevcn.com]: The kerberos protocol requires a Realm name to be defined. This is typically the domain name converted to uppercase. Please provide a realm name [LV.VCN.ORACLEVCN.COM]:
-
Geben Sie die Kennwörter für den Directory Server-Superuser und den Benutzer FreeIPA
admin
ein, und bestätigen Sie sie.Der Directory Server-Superuser ist
cn=Directory Manager
im Verzeichnis zugeordnet.Certain directory server operations require an administrative user. This user is referred to as the Directory Manager and has full access to the Directory for system management tasks and will be added to the instance of directory server created for IPA. The password must be at least 8 characters long. Directory Manager password: Password (confirm): The IPA server requires an administrative user, named 'admin'. This user is a regular system account used for IPA server administration. IPA admin password: Password (confirm):
-
Übernehmen Sie die Standardwerte für die Einstellung des NETBIOS-Domainnamens, und
no
für die Konfiguration der chronischen Domain.NetBIOS domain name [LV]: Do you want to configure chrony with NTP server or pool address? [no]:
-
Das Skript enthält eine Zusammenfassung der Serverkonfiguration.
-
Geben Sie
yes
ein, um die Serverkonfiguration zu akzeptieren.Continue to configure the system with these values? [no]: yes
-
Das Skript fährt mit der Konfiguration des Servers fort.
Dieser Vorgang kann mehrere Minuten dauern.
... Client configuration complete. The ipa-client-install command was successful Please add records in this file to your DNS system: /tmp/ipa.system.records.mv9i0ec2.db ============================================================================== Setup complete Next steps: 1. You must make sure these network ports are open: TCP Ports: * 80, 443: HTTP/HTTPS * 389, 636: LDAP/LDAPS * 88, 464: kerberos UDP Ports: * 88, 464: kerberos * 123: ntp 2. You can now obtain a kerberos ticket using the command: 'kinit admin' This ticket will allow you to use the IPA tools (e.g., ipa user-add) and the web user interface. Be sure to back up the CA certificates stored in /root/cacert.p12 These files are required to create replicas. The password for these files is the Directory Manager password The ipa-server-install command was successful
Nach Abschluss stellt das Skript Folgendes bereit:
- Eine Zusammenfassung.
- Eine Liste der Datensätze, die dem DNS-System hinzugefügt werden sollen.
- Empfehlung zum Sichern der generierten CA-Zertifikate.
Die erforderlichen Netzwerkports sind bereits mit dem Service
freeipa-4
firewalld
geöffnet.
FreeIPA-Server testen
Die Installation von FreeIPA umfasst einen Befehlszeilenclient und einen WebUI für die Interaktion mit dem Server. Die Verwendung von WebUI liegt außerhalb des Geltungsbereichs dieses Tutorials.
Auf die Befehlszeilenschnittstelle (CLI) zugreifen
-
Authentifizieren Sie den Benutzer
admin
für die Kerberos-Realm.kinit admin
Wenn Sie dazu aufgefordert werden, geben Sie das Kennwort für den Benutzer
admin
ein, der während der Installations- und Konfigurationsschritte erstellt wurde. Der Befehlkinit
generiert dann ein Kerberos-Ticket. -
Auflisten der Ticketinformationen
klist
Beispielausgabe:
[oracle@freeipa ~]$ sudo klist Ticket cache: KCM:0 Default principal: admin@LV.VCN.ORACLEVCN.COM Valid starting Expires Service principal 09/28/2022 14:05:46 09/29/2022 13:05:53 krbtgt/LV.VCN.ORACLEVCN.COM@LV.VCN.ORACLEVCN.COM
-
Ruft eine Liste aller vorhandenen Benutzer auf dem FreeIPA-Server ab.
ipa user-find
Die Ergebnisse geben den Benutzer
admin
zurück. Dies ist der einzige Benutzer, der derzeit vorhanden ist.Beispielausgabe:
[oracle@freeipa ~]$ sudo ipa user-find -------------- 1 user matched -------------- User login: admin Last name: Administrator Home directory: /home/admin Login shell: /bin/bash Principal alias: admin@LV.VCN.ORACLEVCN.COM, root@LV.VCN.ORACLEVCN.COM UID: 872200000 GID: 872200000 Account disabled: False ---------------------------- Number of entries returned 1 ----------------------------
Sicherheitseinstellungen und Härtung
Im Folgenden finden Sie einige Möglichkeiten, den FreeIPA-Server sicher zu verwenden.
Anonyme Binds deaktivieren
Der LDAP-Server FreeIPA ermöglicht anonyme Binds als Standard, wodurch bestimmte Konfigurationseinstellungen und Verzeichniswerte angezeigt werden.
Das Attribut nsslapd-allow-anonymous-access
steuert dieses Verhalten. Zulässige Werte sind:
on
: Ermöglicht alle anonymen Binds (Standard)rootdse
: Ermöglicht anonyme Binds nur für Root-DSE-Informationenoff
: Keine anonymen Binds zulässig
Die Empfehlung lautet, rootdse
anstelle von off
zu verwenden, wenn anonyme Binds nicht zulässig sind, da die Verwendung von off
auch externe Clients daran hindert, die Serverkonfiguration zu prüfen. Nicht-Domain-Clients wie LDAP und Webclients verbinden sich anonym, indem sie die DSE-Root-Datei lesen, um Verbindungsdetails abzurufen.
-
Prüfen Sie, ob anonyme Binds aktiviert sind.
ldapsearch -x -h $(hostname -f) -b dc=lv,dc=vcn,dc=oraclevcn,dc=com
-x
legt eine einfache oder anonyme Authentifizierung fest.-h
legt den LDAP-Serverhost fest.-b
legt das Basis-DN für die Suche fest.
Die Schlüsseleinstellungen, einschließlich des Basis-DN für den FreeIPA-Server, werden in der Datei
/etc/ipa/default.conf
gespeichert.Beispielausgabe:
... # Default SMB Group, groups, accounts, lv.vcn.oraclevcn.com dn: cn=Default SMB Group,cn=groups,cn=accounts,dc=lv,dc=vcn,dc=oraclevc n,dc=com cn: Default SMB Group description: Fallback group for primary group RID, do not add users to this gr oup objectClass: top objectClass: ipaobject objectClass: posixgroup objectClass: ipantgroupattrs ipaUniqueID: 0c9cf178-4324-11ed-bf0b-02001704fe22 gidNumber: 921600001 ipaNTSecurityIdentifier: S-1-5-21-2697967063-3375457457-2974965896-1001 # search result search: 2 result: 0 Success # numResponses: 110 # numEntries: 109
Die Suchergebnisse geben den gesamten Baum für das LDAP-Verzeichnis zurück.
-
Konfiguration ändern und anonyme Binds deaktivieren
Der Befehl
ldapmodify
akzeptiert entweder eine LDIF-Datei mit den vorzunehmenden Änderungen oder liest Vorgänge aus der Standardeingabe.-
LDIF-Datei erstellen
cat << 'EOF' | tee ~/disable_anon_bind.ldif > /dev/null dn: cn=config changetype: modify replace: nsslapd-allow-anonymous-access nsslapd-allow-anonymous-access: rootdse EOF
Das Ändern mehrerer Attribute ist möglich, indem sie durch einen Bindestrich (
-
) in einer Zeile getrennt werden. Jede zusätzliche Änderung beginnt mit dem Attributänderungstyp und gibt die erforderlichen Attribute an. -
Wenden Sie die LDIF-Änderungen an.
ldapmodify -x -D "cn=Directory Manager" -W -H ldap:// -ZZ -f ~/disable_anon_bind.ldif
-x
legt eine einfache oder anonyme Authentifizierung fest.-D
legt das Bind-DN fest.-W
fordert Sie zur Eingabe des LDAP-Kennwortsadmin
auf.-H
verwendet die LDAP Uniform Resource Identifier (URI) für die Verbindung und nicht den LDAP-Serverhost.-ZZ
startet eine TLS-Anforderung und erzwingt eine erfolgreiche Antwort.
Hinweis: Die
-ZZ
ist aufgrund der Verwendung von selbstsignierten Zertifikaten erforderlich.Beispielausgabe:
[oracle@freeipa ~]$ ldapmodify -x -D "cn=Directory Manager" -W -H ldap:// -ZZ -f ~/disable_anon_bind.ldif Enter LDAP Password: modifying entry "cn=config"
-
Starten Sie den FreeIPA-Server erneut.
sudo systemctl restart ipa.service
-
-
Prüfen Sie die Änderung, indem Sie das Verzeichnis anonym abfragen.
ldapsearch -x -h $(hostname -f) -b dc=lv,dc=vcn,dc=oraclevcn,dc=com
Beachten Sie die Antwort
Anonymous access is not allowed
.Beispielausgabe:
[oracle@freeipa ~]$ ldapsearch -x -h freeipa.lv.vcn.oraclevcn.com -b dc=lv,dc=vcn,dc=oraclevcn,dc=com # extended LDIF # # LDAPv3 # base <dc=lv,dc=vcn,dc=oraclevcn,dc=com> with scope subtree # filter: (objectclass=*) # requesting: ALL # # search result search: 2 result: 48 Inappropriate authentication text: Anonymous access is not allowed. # numResponses: 1
-
Überprüfen Sie, ob die Abfrage des Verzeichnisses mit der Authentifizierung funktioniert.
ldapsearch -D uid=admin,cn=users,cn=accounts,dc=lv,dc=vcn,dc=oraclevcn,dc=com -W -H ldap://
Beispielausgabe:
... # freeipa.lv.vcn.oraclevcn.com + 389, subordinate-ids, dna, ipa, etc, lv.vcn.oraclevcn.com dn: dnaHostname=freeipa.lv.vcn.oraclevcn.com+dnaPortNum=389,cn=subord inate-ids,cn=dna,cn=ipa,cn=etc,dc=lv,dc=vcn,dc=oraclevcn,dc=com objectClass: dnaSharedConfig objectClass: top dnaHostname: freeipa.lv.vcn.oraclevcn.com dnaPortNum: 389 dnaSecurePortNum: 636 dnaRemainingValues: 32766 # search result search: 2 result: 0 Success # numResponses: 475 # numEntries: 474
Prüfen, ob TLS aktiviert ist
Ab Oracle Linux 8 verwendet FreeIPA die systemweite Krypto-Policy. Weitere Informationen finden Sie auf der Manpage crypto-policies(7)
.
-
Listen Sie die aktuelle systemweite Kryptorichtlinie auf.
cat /etc/crypto-policies/config
-
Listen Sie die Details der Krypto-Policy auf.
cat /usr/share/crypto-policies/$(cat /etc/crypto-policies/config)/nss.txt
Beispielausgabe:
[oracle@freeipa ~]$ cat /usr/share/crypto-policies/$(cat /etc/crypto-policies/config)/nss.txt library= name=Policy NSS=flags=policyOnly,moduleDB config="disallow=ALL allow=HMAC-SHA256:HMAC-SHA1:HMAC-SHA384:HMAC-SHA512:CURVE25519:SECP256R1:SECP384R1:SECP521R1:aes256-gcm:chacha20-poly1305:aes256-cbc:aes128-gcm:aes128-cb > c:SHA256:SHA384:SHA512:SHA224:ECDHE-RSA:ECDHE-ECDSA:RSA:DHE-RSA:ECDSA:RSA-PSS:RSA-PKCS:tls-version-min=tls1.2:dtls-version-min=dtls1.2:DH-MIN=2048:DSA-MIN=2048:RSA-MIN=2048"
Beachten Sie, dass die
DEFAULT
-Policy mindestensTLS 1.2
verwendet.
Prüfen Sie den FreeIPA-Serverstatus
Der FreeIPA-Server enthält das Utility ipactl
, um den Status der konfigurierten Services anzuzeigen. Das gleiche Utility kann auch den gesamten FreeIPA-Server starten, stoppen und neu starten. Wenn Sie einzelne Komponenten start
, stop
oder restart
benötigen, verwenden Sie systemctl COMMAND name.service
.
-
Zeigt den Status aller Services an.
sudo ipactl status
Beispielausgabe:
[oracle@freeipa ~]$ sudo ipactl status Directory Service: RUNNING krb5kdc Service: RUNNING kadmin Service: RUNNING httpd Service: RUNNING ipa-custodia Service: RUNNING pki-tomcatd Service: RUNNING ipa-otpd Service: RUNNING ipa: INFO: The ipactl command was successful
Verwenden Sie
sudo ipactl --help
, um zusätzliche Befehlsoptionen anzuzeigen.
Benutzer und Gruppen erstellen
Nachdem die grundlegende Installation und Konfiguration des FreeIPA-Servers abgeschlossen ist, geht es im nächsten Schritt um das Identitätsmanagement, das aus dem Erstellen von Benutzern und Gruppen besteht. Generieren Sie dazu ein Kerberos-Token.
-
Generieren Sie ein Token für den Benutzer
admin
.kinit admin
-
Ruft eine Liste mit vorhandenen Token ab.
klist
Die Kerberos-Token sind standardmäßig für 24 Stunden gültig. Da diese Befehle bereits im Schritt "Zugriff auf die Befehlszeilenschnittstelle (CLI)" ausgeführt wurden, wird in der Liste das ursprüngliche Token angezeigt, anstatt ein neues zu erstellen.
-
Fügen Sie eine neue Benutzergruppe hinzu.
FreeIPA definiert eine Benutzergruppe als eine Gruppe von Benutzern mit Standardkennwort-Policys, -berechtigungen und anderen Eigenschaften.
Eine Benutzergruppe kann Folgendes umfassen:
- Benutzer
- andere Benutzergruppen
- Externe Benutzer, die außerhalb von FreeIPA existieren
ipa group-add foo
Beispielausgabe:
[oracle@freeipa ~]$ ipa group-add foo ----------------- Added group "foo" ----------------- Group name: foo GID: 1326400003
Der FreeIPA-Server unterstützt drei Gruppentypen:
- POSIX (Standard)
- Nicht-POSIX
- Extern
Die Gruppe foo
ist eine POSIX-Benutzergruppe. Um einen anderen Gruppentyp anzugeben, verwenden Sie eine der folgenden Optionen:
--nonposix
zum Erstellen einer Nicht-POSIX-Gruppe--external
zum Erstellen einer externen Gruppe
-
Ruft eine Liste aller vorhandenen Benutzergruppen ab.
ipa group-find
Beispielausgabe:
[oracle@freeipa ~]$ ipa group-find ---------------- 5 groups matched ---------------- Group name: admins Description: Account administrators group GID: 1326400000 Group name: editors Description: Limited admins who can edit other users GID: 1326400002 Group name: foo GID: 1326400003 Group name: ipausers Description: Default group for all users Group name: trust admins Description: Trusts administrators group ---------------------------- Number of entries returned 5 ----------------------------
Der FreeIPA-Server erstellt während der Installation die folgenden Benutzergruppen.
admins
ipausers
trust admins
Warnung: Löschen Sie die Gruppe
admin
nicht, da sie den Standardbenutzeradmin
enthält. Der FreeIPA-Server erfordert, dass die Gruppeadmin
ordnungsgemäß funktioniert. -
Fügen Sie einen neuen Benutzeraccount hinzu.
ipa user-add
Der Befehl führt ein interaktives Skript aus, das zur Eingabe des minimalen Datensets auffordert, das FreeIPA zum Erstellen eines Benutzeraccounts benötigt.
Beispielausgabe:
[oracle@freeipa ~]$ ipa user-add First name: Oracle Last name: User User login [ouser]: oracle ------------------- Added user "oracle" ------------------- User login: oracle First name: Oracle Last name: User Full name: Oracle User Display name: Oracle User Initials: OU Home directory: /home/oracle GECOS: Oracle User Login shell: /bin/sh Principal name: oracle@LV.VCN.ORACLEVCN.COM Principal alias: oracle@LV.VCN.ORACLEVCN.COM Email address: oracle@lv.vcn.oraclevcn.com UID: 1326400004 GID: 1326400004 Password: False Member of groups: ipausers Kerberos keys available: False
Alternativ können Sie den Befehl mit mehreren Optionen ausführen, um ein Benutzerkonto in einem nicht interaktiven Modus zu erstellen. Um eine Liste der verfügbaren Optionen abzurufen, führen Sie
ipa user-add --help
aus. -
Fügen Sie den neuen Benutzer zur neuen Benutzergruppe hinzu.
ipa group-add-member foo --users=oracle
Beispielausgabe:
[oracle@freeipa ~]$ ipa group-add-member foo --users=oracle Group name: foo GID: 1326400003 Member users: oracle ------------------------- Number of members added 1 -------------------------
Der Befehl ipa
verfügt über mehr Funktionalität als angezeigt. Um weitere Befehle zu erhalten, führen Sie ipa help commands
aus, um eine umfassende Liste anzuzeigen.
Nächste Schritte
Abschließend werden die Grundlagen der Installation und Verwendung des FreeIPA-Servers vorgestellt. Erkunden Sie die folgenden Links oder lesen Sie sich die Produkthandbuchseiten durch, da FreeIPA viele zusätzliche Funktionen bietet, die über die hier behandelten Themen hinausgehen.
Verwandte Links
Weitere Lernressourcen
Sehen Sie sich weitere Übungen zu docs.oracle.com/learn an, oder greifen Sie auf weitere kostenlose Lerninhalte im Oracle Learning YouTube-Kanal zu. Besuchen Sie außerdem education.oracle.com/learning-explorer, um ein Oracle Learning Explorer zu werden.
Die Produktdokumentation finden Sie im Oracle Help Center.
Install FreeIPA Server on Oracle Linux
F71555-02