RH413企业安全加固 第12章 安装 CA 中心 第二节

最新推荐文章于 2024-02-23 22:06:44 发布
置顶 最新推荐文章于 2024-02-23 22:06:44 发布
阅读量703 收藏
点赞数
分类专栏: RH413企业安全加固
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/strom2418/article/details/50571662
版权

第12章 安装 CA 中心 第二节

环境配置

1、RHEL6.4 SERVER 10.10.10.221

2、RHEL6.4 CLIENT 10.10.10.223

 

1、ipa config-mod命令更改默认用户的shell

[root@teachers ~]# ipa config-mod --defaultshell=/bin/bash ---跟改为/bin/bash

  Maximum username length: 32

  Home directory base: /home

  Default shell: /bin/bash

  Default users group: ipausers

  Default e-mail domain: example.com

  Search time limit: 2

  Search size limit: 100

  User search fields: uid,givenname,sn,telephonenumber,ou,title

  Group search fields: cn,description

  Enable migration mode: FALSE

  Certificate Subject base: O=EXAMPLE.COM

  Password Expiration Notification (days): 4

  Password plugin features: AllowNThash

  SELinux user map order: guest_u:s0$xguest_u:s0$user_u:s0$staff_u:s0-s0:c0.c1023$unconfined_u:s0-s0:c0.c1023

  Default SELinux user: unconfined_u:s0-s0:c0.c1023

  Default PAC types: MS-PAC

 

 

2、IPA 客户端配置

1) 安装IPA客户端

[root@student ~]# yum install ipa-client

2) 使用ipa-client-install 配置

[root@student ~]# ipa-client-install --domain=example.com --server=teachers.example.com --realm=EXAMPLE.COM -p admin -w redhat123 --mkhomedir -U

Hostname: student.example.com

Realm: EXAMPLE.COM

DNS Domain: example.com

IPA Server: teachers.example.com

BaseDN: dc=example,dc=com

 

Synchronizing time with KDC...

Unable to sync time with IPA NTP server, assuming the time is in sync. Please check that 123 UDP port is opened.

Successfully retrieved CA cert

    Subject:     CN=Certificate Authority,O=EXAMPLE.COM

    Issuer:      CN=Certificate Authority,O=EXAMPLE.COM

    Valid From:  Fri Jan 22 23:13:35 2016 UTC

    Valid Until: Tue Jan 22 23:13:35 2036 UTC

 

Enrolled in IPA realm EXAMPLE.COM

Created /etc/ipa/default.conf

New SSSD config will be created

Configured /etc/sssd/sssd.conf

Configured /etc/krb5.conf for IPA realm EXAMPLE.COM

trying https://teachers.example.com/ipa/xml

Adding SSH public key from /etc/ssh/ssh_host_dsa_key.pub

Adding SSH public key from /etc/ssh/ssh_host_rsa_key.pub

Forwarding 'host_mod' to server u'https://teachers.example.com/ipa/xml'

Could not update DNS SSHFP records.

SSSD enabled

Configured /etc/openldap/ldap.conf

NTP enabled

Configured /etc/ssh/ssh_config

Configured /etc/ssh/sshd_config

Client configuration complete.

 

3) 重新配置IPA客户端

[root@student ~]#ipa-client-install --uninstall

[root@student ~]# rm -r /etc/ipa/ca.crt 

4) 查看创建的user01

[root@student ~]# getent passwd user01

user01:*:5001:5001:user01 testuser:/home/user01:/bin/sh

5) 登录user01

[root@student ~]# su - user01

Creating home directory for user01.

/etc/profile 1

-sh-4.1$ 

 

3、在SERVER端创建组

1) 创建组

[root@teachers ~]# ipa group-add group1

Description: group1

--------------------

Added group "group1"

--------------------

  Group name: group1

  Description: group1

  GID: 5003

2) 将组中添加用户

[root@teachers ~]# ipa group-add-member group1 --user=user01

  Group name: group1

  Description: group1

  GID: 5003

  Member users: user01

-------------------------

Number of members added 1

-------------------------

 

3) 查看用户或组的详细信息

[root@teachers ~]# ipa user-show --all

User login: user01

  dn: uid=user01,cn=users,cn=accounts,dc=example,dc=com

  User login: user01

  First name: user01

  Last name: testuser

  Full name: user01 testuser

  Display name: user01 testuser

  Initials: ut

  Home directory: /home/user01

  GECOS field: user01 testuser

  Login shell: /bin/sh

  Kerberos principal: user01@EXAMPLE.COM

  Email address: user01@example.com

  UID: 5001

  GID: 5001

  Account disabled: False

  Password: True

  Member of groups: ipausers, group1

  Kerberos keys available: True

  ipauniqueid: 7d7ed466-c161-11e5-803d-000c299b800a

  krbextradata: AALgvaJWcm9vdC9hZG1pbkBFWEFNUExFLkNPTQA=

  krblastpwdchange: 20160122234016Z

  krbpasswordexpiration: 20160122234016Z

  krbpwdpolicyreference: cn=global_policy,cn=EXAMPLE.COM,cn=kerberos,dc=example,dc=com

  mepmanagedentry: cn=user01,cn=groups,cn=accounts,dc=example,dc=com

  objectclass: top, person, organizationalperson, inetorgperson, inetuser, posixaccount, krbprincipalaux, krbticketpolicyaux, ipaobject, ipasshuser,

               ipaSshGroupOfPubKeys, mepOriginEntry

 

随行之旅
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
RH413服务器安全加强视频教程.zip
07-14
目录网盘文件永久链接 第一 跟踪安全更新 第二 管理软件更新 第三 创建文件系统 第四 管理文件系统 ...第十一 安装集中验证服务器 第十三 配置系统日志 第十四 配置系统审计 第十五 控制网络访问
OpenLDAP + Ranger +Kerberos 三方集成实现身份、权限认证
z_ran的博客
12-15 2037
OpenLDAP+Kerberos+Ranger集成
第五节 龙晰 Anolis OS 8.8 中安装配置freeIPA(客户端)
最新发布
ftzyj的博客
02-23 1028
安装ipa-client。
freeipa(2)客户端配置
senvenks的专栏
10-06 4155
1)安装ipa-client yum -y install ipa-client
集成 OpenLDAP 与 Kerberos 实现统一认证 (1):整合后台数据库
Laurence的技术博客
06-07 3190
本文首发于 InfoQ,写作本系列文的背景是我们要在大数据平台/企业数据湖场景下给出中心化的用户身份认证方案。此前,我们实现过Windows AD + Kerberos的集成方案,由于Windows AD是LDAP和Kerberos的双重实现,这种天然优势使得Windows AD可以实现真正意义上的(大数据集群的)Kerberos账号与企业用户账号的统一管理。当我们想在OpenLDAP + Kerberos上实现同样的目标时,发现这一领域的知识与方案琐碎而凌乱,缺少统一连贯,脉络清晰的讲解
Ambari安装freeIPA
光于前裕于后的博客
02-22 5729
环境:Ambari-2.4.2、HDP-2.5.3、CentOS 6.5 freeIPA包含了Kerberos、ldap等服务,经调研感觉可以用它来做认证和统一用户管理,用户都存在freeIPA的ldap中。
linux入门教程 第3 rh使用指南
09-16
在Linux系统中,Red Hat Linux 7.1是一个广泛使用的版本,本主要介绍了如何入门和使用这一操作系统。Linux是一个多用户、多任务的系统,其核心特性之一是安全性,这体现在用户管理和权限控制上。以下是本涉及的...
三菱机器人RH-3FH-6FH-12FH-20FH安装手册.pdf
06-30
【三菱机器人RH-3FH-6FH-12FH-20FH安装手册】提供了详细的安装、设置与维护指南,确保安全操作是其中的核心内容。这些型号的三菱工业机器人是自动化生产线上的重要设备,适用于各种制造环境。以下是手册中涉及的关键...
RH124(8.0)-创建、查看和编辑文本文件(第五)
01-09
目标: 使用shell重定向将命令输出或错误保存到文件中,并使用管道通过多个命令行程序处理命令输出 使用vim编辑器创建和编辑文本文件 使用shell变量来帮助运行命令,编辑bash启动脚本来设置shell和环境变量来...
RH2288 V3 服务器安装Widows 2012系统操作.docx
07-22
"RH2288 V3 服务器安装 Windows 2012 系统操作" RH2288 V3 服务器安装 Windows 2012 操作系统是一个复杂的过程,需要对服务器的硬件和软件进行相应的设置和配置。下面是安装和配置 Windows 2012 操作系统的详细...
安装ipa-server
weixin_34324081的博客
07-16 447
        ipa-server是红帽身份验证的一个完整解决方案,上游的开源项目是freeIPA,它本身不提供具体功能,而是整合了389-ds、bind、kerberos等核心软件包,形成一个以389-ds(ldap)为数据存储后端,kerberos为验证前端,bind为主机识别,apache+tomcat提供的一个web管理界面,统一的命令行管理界面的身份识别系统。是rhel6重要的新特性之...
freeipa(1)服务器搭建
senvenks的专栏
10-06 3851
1)安装ipa-server yum -y install ipa-server
FreeIPA+Gitlab实现用户管理
weixin_43404595的博客
12-11 2139
FreeIPA+Gitlab实现LDAP的用户管理 安装前准备****主机名和域名解析一定要一样 安装前一定记得换源,在centos最新的源中freeipa版本为4.6.6,在安装过程中,会出错,把所有的自带的源备份一下,复制如下源 vim ipa.repo [ipa-server] name= ipa-server repo baseurl=http://vault.centos.org/7.7.1908/os/x86_64/ enable=1 gpgcheck=0 注意: 上面的源为freeipa
freeipa(3)常见错误
senvenks的专栏
01-03 7760
1)ipa user-xxx命令报错 ipa: ERROR: did not receive Kerberos credentials 解决方案:重新执行kinit admin 2)
Linux与云计算——第二阶段Linux服务器架设 第六:目录Directory服务器架设—FreeIPA...
weixin_34123613的博客
08-01 335
Linux与云计算——第二阶段Linux服务器架设第六:目录Directory服务器架设—FreeIPA1 FreeIPA 配置FreeIPA服务器Configure IPA Server to share users' account in your local network.[1] Install FreeIPA.[root@dlp ~]# yum -y instal...
FreeIPA主从+HDP3.0.0安装配置.
luoyoumou的专栏
07-27 6166
    -- 安装后的效果如上三图所示,其中最后一张图,你可以看到: KDC Type=Existing IPA -- 大家安装时若遇到问题欢迎加QQ群进一步交流:661945126 -- 参考:https://blog.csdn.net/Post_Yuan/article/details/78204957          https://github.com/emaxwell-hw...
Ubuntu(14.04)Kerberos LDAP配置
m1213642578的专栏
09-02 1310
大多数情况下,我们不会光使用Kerberos;一旦用户被Kerberos认证,我们需要指出用户可以做什么(认证哪些服务)。这将会是一些程序的工作比如:LDAP。在两个服务器之间复制一个kerberos实体数据库,或者将一个附加的用户数据库添加到您的网络中可能会比较麻烦。
0559-02-如何在Redhat7上安装FreeIPA的客户端
Hadoop_SC的博客
11-23 323
1 文档编写目的 Fayson在前面的文《0558-01-如何在Redhat7上安装FreeIPA》介绍了FreeIPA的安装及使用,本篇文Fayson主要介绍如何在RedHat7上安装FreeIPA的客户端并配置。 内容概述 1.环境准备 2.安装FreeIPA客户端及使用 3.总结及异常处理 测试环境 1.RedHat7.3 2.FreeIPA4.6.4 2 环境准备 1.首先要确...
Ambari集成Kerberos报错汇总
weixin_34419321的博客
12-14 1155
                  Ambari集成Kerberos报错汇总                                        作者:尹正杰  版权声明:原创作品,谢绝转载!否则将追究法律责任。           一.查看报错的配置信息步骤 1>.点击Test Kerberos Client,查看相应日志信息   2>.查看具体是哪台机器出现问题   ...
华为RH2285HV2服务器V100R002C00用户指南第14版:安装与维护详解
本指南详细介绍了华为RH2285HV2服务器的V100R002C00版本用户手册,...本用户指南是华为RH2285HV2服务器的重要参考资料,为技术人员提供了全面的安装、维护和故障排除指导,有助于确保高效、安全地操作和管理服务器。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

随行之旅

python国产化自动化

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值