freeipa

httpd 通常の再起動 - 構文エラー
freeipa

httpd 通常の再起動 - 構文エラー

私のhttpdサーバーでこれを見つけました。 [pid 18582] AH00171: Graceful restart requested, doing restart httpd: Syntax error on line 56 of /etc/httpd/conf/httpd.conf: Syntax error on line 1 of /etc/httpd/conf.modules.d/10-nss.conf: Cannot load modules/libmodnss.so into server: /lib64/libnssutil3.so: ...

Admin

FREEIPA ID プロバイダー サーバー: Azure Active Directory
freeipa

FREEIPA ID プロバイダー サーバー: Azure Active Directory

FreeipaでAADをIDサーバープロバイダとして追加し、以下のスクリーンショットのように設定しようとしています。 文書には使用できる内容はあまりありません。これを行うためにもっと必要なものを見つけるのに役立つ人はいますか? ...

Admin

UbuntuにFreeipaクライアントをインストールする
freeipa

UbuntuにFreeipaクライアントをインストールする

Ubuntu VMにfreeipaクライアントをインストールしようとしていますが、次のエラーが発生します。 failed to obtain host tgt: major (458752): no credentials were supplied, or the credentials were unavailable or inaccessible, minor (2529639107): no credentials cache found インストールコマンド: ipa-client-install \ -U \ --domain="ex...

Admin

automount が "automount[21736]: do_mount_indirect: 間接トリガーが無効または既にマウントされています" という行で /var/log/messages をあふれています。
freeipa

automount が "automount[21736]: do_mount_indirect: 間接トリガーが無効または既にマウントされています" という行で /var/log/messages をあふれています。

複数のLinux Centosホストで自動マウントの問題が発生しました。 /var/log/messages に次の行が表示されます。 automount[21736]: do_mount_indirect: indirect trigger not valid or already mounted" autofsでデバッグを有効にしましたが、ログ行がさらに詳細になりました。 Jul 18 14:43:49 hostname automount[128192]: handle_packet: type = 3 Jul 18 14:43:49 hostnam...

Admin

FreeIPAで廃止されたパスワードを削除する方法は?
freeipa

FreeIPAで廃止されたパスワードを削除する方法は?

FreeIPA 4.8は多くの古いパスワードを使用しなくなりました(https://freeipa.org/page/Releases/4.8.0)。しかし、彼らはまだ存在します。例: # klist -ke /etc/krb5.keytab Keytab name: FILE:/etc/krb5.keytab KVNO Principal ---- -------------------------------------------------------------------------- 1 host/[email protect...

Admin

FreeIPAで管理者アカウントを完全にロックする
freeipa

FreeIPAで管理者アカウントを完全にロックする

単一のレプリカとしてFreeIPAサーバーを設定しました。管理者アカウントがロックされています。これは次のログですkinit admin。 [root@idm-00 ~]# kinit admin kinit: Client's credentials have been revoked while getting initial credentials Jun 26 13:04:08 idm-00.<REDACTED> krb5kdc[288805](info): AS_REQ (6 etypes {aes256-cts-hmac-sha1-...

Admin

FreeBSD 13.2ホストがIPAによる認証に失敗する
freeipa

FreeBSD 13.2ホストがIPAによる認証に失敗する

私のFreeBSDクライアントoh.oplz.huhのSSH認証に失敗しました。 FreeBSDクライアントのsssd_oplz.yo.logにこのエラーが表示されます。(Tue Jun 13 15:13:24:459513 2023) [sssd [sss_ini_call_validators] (0x0020): [rule/allowed_sections]: Section [domain/oplz.huh] is not allowed. Check for typos. /usr/local/etc/sssd/sssd.conf に [rule...

Admin

FreeIPAで秘密を「封印」しますか?
freeipa

FreeIPAで秘密を「封印」しますか?

最近、私たちはLinuxホストでTPMを設定する方法を見ました。起動時に grub パラメータとカーネルがチェックサムされ、チェックサムが期待どおりの場合、TPM モジュールはルートファイルシステムとシステムのキーブートを解凍します。改ざんされた場合、キーは開かず、コンピュータは起動しません。良くて安全です。 同様に、FreeIPAサーバーに機密情報(TLS証明書キーまたはTLS証明書自体など)を保存し、ホストが認証された後にのみホストに渡したいと思います。目的は、nginxウェブサイト(Google「NGINXを使用してSSL秘密鍵を安全に配布する」)で説...

Admin

FreeIPA LDAPロードバランシング
freeipa

FreeIPA LDAPロードバランシング

私の家の研究室にFreeIPAサーバーを設定しています。合計3つのサーバーがあります。また、これらのサーバー間でロードバランシングを実行したり、少なくともDNSを使用してこれを実行したいと考えています。 LinuxサーバーにIPAclientをインストールしていませんが、LDAPを使用して接続しました。 私はDmitri PalがID管理とロードバランシングの一部を議論するブログ記事を見つけました(参照:ID管理とロードバランシング) AWSを使用する予定なので、LDAPロードバランシングが役に立つのか、ブログの記事で説明したDmitriなどのDNS SRV...

Admin

FreeIPA自動マウントホームディレクトリは、ローカルユーザーホームディレクトリの作成を防ぎます。
freeipa

FreeIPA自動マウントホームディレクトリは、ローカルユーザーホームディレクトリの作成を防ぎます。

FreeIPAを私のネットワークのIDMソフトウェアとして設定し、Kerberos対応NFSサーバーとKerberos対応NFSクライアントを正常に構成しました。ユーザーがコンピュータにログインすると、NFSサーバーのユーザーディレクトリはautofsを介してローカルコンピュータnfs:/srv/nfs/home/userdirに自動的にマウントされます。/home/userdir 私が直面している問題は、1台のコンピュータでローカルユーザー(gitユーザーなど)を作成する必要がある場合は、次のことができないことです。根/home/gitユーザーは次のように...

Admin

FreeIPAとRoundcubeを使用してDockerでメールサーバーを設定する
freeipa

FreeIPAとRoundcubeを使用してDockerでメールサーバーを設定する

独自のメールサーバーを設定し、Ldap(FreeIPA)を介して認証を試みました。これはDockerコンテナ内で実行する必要があります。何が間違っているのかわかりません。たぶん私のLDAP設定かもしれません。 version: '3.9' services: freeipa: image: freeipa/freeipa-server:centos-9-stream-4.10.0 container_name: ipa restart: unless-stopped tty: true stdin_open: t...

Admin

FreeIPA設定から失敗したレプリカを削除するのに役立ちます
freeipa

FreeIPA設定から失敗したレプリカを削除するのに役立ちます

私のシステムには2つのFreeIPAサーバーがあります。 ns-1とns-2。私が知っている限り、ns-1はプライマリipaサーバーで、ns-2はレプリカに設定されています。しかし、この点では私の言葉が間違っているかもしれません。 私のns-2でOSをアップグレードしようとすると、アップグレードが途中で失敗し、システムがクラッシュしました。 ns-2が完了するまでそのシステムのアップグレードを遅らせたので、ns-1はまだうまく動作しています。 ns-2を削除し、その場所に新しいVMを再構築し、これを新しいns-2代替エントリに設定しようとしています。しかし、...

Admin

ホスト名を変更せずにfreeIPAにホストを追加する
freeipa

ホスト名を変更せずにfreeIPAにホストを追加する

会社のLinuxホストにサインアップするように求められますfreeIPA。しかし、問題はホスト名を変更できないことです。したがって、ホストNetBiosの名前を変更せずに維持する必要があります。 このようなものを実装するためのアイデア(ホスト名などのエイリアスなど)があるかどうか疑問に思います。 ...

Admin

ADユーザーのためのFreeIpa MFA
freeipa

ADユーザーのためのFreeIpa MFA

私はFreeIpa POC(centos7、freeipa 4.7、いくつかのクライアントを複数のホストとして使用する2つのfreeipaサーバー)を設定しました。複数のユーザーにOTPを追加し、VPNアクセス認証のためにRADIUSと連携するようにしました。次に、AD Trustを追加してADユーザーとしてログインできました。みんなとてもおしゃれです。これで、ADユーザー用のOTPトークンを追加してMFAを強制したいと思います。可能ですか? ADユーザーはADに対して認証を行うので、MFAを提供することはADになるべきではないか? FreeIPAは、ADユ...

Admin

/etc/passwd で $GECOS 値を参照して名前と姓を抽出するために awk または sed を使用する bash スクリプト
freeipa

/etc/passwd で $GECOS 値を参照して名前と姓を抽出するために awk または sed を使用する bash スクリプト

赤い帽子サンプルスクリプトがありますNISからFreeIPAにユーザーを移行します。nis-user.sh次のようになります。 #!/bin/sh # $1 is the NIS domain, $2 is the NIS master server ypcat -d $1 -h $2 passwd > /dev/shm/nis-map.passwd 2>&1 IFS=$'\n' for line in $(cat /dev/shm/nis-map.passwd) ; do IFS=' ' username=$(echo...

Admin