问题标签 [freeipa]

FreeIPA 具有内置命令来建立与 Active Directory 服务器的信任关系。还有一种方法可以配置与另一个 FreeIPA 服务器的信任吗？

我想模拟个人用户通过公司（LDAP + Kerberos）目录进行身份验证但服务帐户和 NPA 保存在本地 Kerberos 领域的场景。

有没有办法对 FreeIPA 使用 ldapsearch 来返回 uid 和employeeNumber？

使用简单的 ldapsearch 不会公开所有属性。有什么我忽略的吗？

生病直接进入它。

我们正在为集中式身份验证和（本地）DNS 测试 FreeIPA，但是我们希望使用我们的 tld company.com，因为这些是面向互联网的服务器，并且应用程序需要可解析的 FQDN。

我们已经将 Dyn 用于托管 DNS，但是，我们希望在使用 FQDN 时使用本地 DNS 来更快地解析服务器到服务器的通信。如果我们都为company.com设置了 DNS，这会导致问题吗？（本地 DNS 仅可供我们的服务器使用）文档有些混乱。

提前致谢。

在一个完全封闭的系统中管理使用 Kerberos 的 Hortonworks (Ambari) 安装时，我处于一个相当不值得羡慕的位置。

这是问题所在：

我发现服务器 x 上的 keytab 文件（我们称之为 foo）不一致：

在 free-ipa 服务器上，我运行以下命令：

“for foo”的版本是不同的。freeipa 服务器上的版本 21。密钥表上的版本 12。

我发现了“ipa-getkeytab”，它会给我一个 keytab，但是每当我运行它时都会增加版本号（在 IPA 服务器上）。

我的 ipa-getkeytab 版本没有 -r, --retrieve 开关（保留版本）。

我需要在 7 个服务器（Hadoop 节点）上获取此密钥表。我不能使用 scp、ssh 作为封闭网络。

有没有办法让我在本地创建（拉出 foo keytab）而不增加版本号？

谢谢

迈尔斯。

我正在尝试从命令显示所有禁用的帐户：

该命令的基本输出显示如下：

如果我运行：

我会得到：

对于所有禁用的帐户。有没有办法让它显示所有匹配的字段"Account disabled: True"？

我想监控控制台活动，例如谁登录、创建了任何新用户以及为我的 PCI 活动添加了新主机。无法弄清楚我查看了上述信息存在于哪些日志中，/var/log/ipaserver-install.log但该日志没有为我提供所需的信息。

请帮忙。

“正面条目”和“负面条目”统计信息位于“主机缓存”部分下的 nscd -g 命令中。从 nscd.conf 手册中，我看到“正条目是指定缓存中的成功查询”和“指定缓存中的负条目（不成功的查询）”。但是，当查询本身意味着它无法在缓存中找到值时，缓存中的不成功查询（负条目）如何命中（缓存命中负条目）......无法理解这两者之间的区别。 . 可以请一些人简单地解释一下吗？

{代码}

{代码}

我正在尝试开发一个安装 freeipa 客户端的 Ansible，而不管操作系统如何。我解决了很多问题，但我无法解决以下问题：

当使用“ipa-client-install”命令加入 ipa 客户端时，我没有任何问题，所有客户端都可以使用 ipa 服务器中的所有当前用户登录。问题是当我在客户端进入域后创建新用户时。客户端 1 和 3 可以使用新用户正确登录，但客户端 2 找不到新用户（重启后也是如此）。

getent passwd 显示本地用户。如果我使用“ipa user-find prueba3”，我会得到：

所有用户都存在此错误，例如我可以使用用户“user1”登录（因为此用户在客户端 2 加入域之前存在）但此命令找不到他。

/var/log/auth.log：

是的，我试过：

但是，如果我使用“ipa -e skip_version_check=1 user-find prueba3”：

我知道问题出在 API 版本 Ubuntu 16 客户端 <---> CentOS 7 服务器上，但我找不到解决此问题的答案。

这个ansible将与这么多机器一起使用，所以我需要它正常工作（client2正确更新所有新用户）。

感谢帮助！

我无法让 LDAP 配置在 Artifactory 中针对 FreeIPA 工作，并且在测试时得到奇怪的结果。有人这个设置工作吗？

这是我在 Artifactory 中的设置： Artifactor Settings

FreeIPA 上的访问日志部分显示了身份验证测试：

我觉得奇怪的是它试图使用用户 DN 模式而不是管理器 DN 进行绑定。结果初始绑定失败，但根据日志发现用于测试连接的 ldap 用户“err=0 tag=101 nentries=1”，但 Artifactory 无法验证用户身份。

有时当我更改 Manager DN 字符串时，Artifactory 会说测试用户已成功验证，但随后所有其他测试将使用同一用户失败。

任何帮助是极大的赞赏！

我已经在已经运行 FreeIPA 进行用户身份验证的 Centos 7 服务器上安装了 openLDAP。http://www.tecmint.com/setup-ldap-server-and-configure-client-authentication

openLDAP 的目的是让 Nodejs 应用程序管理应用程序的用户。并将在单独的服务器上运行。

我可以看到 slapd 正在运行（ps -ef | grep slapd）：

所以我试图使用 ldapadd 命令更改默认值，并且我怀疑正在连接到在盒子上配置的 FreeIPA LDAP（在某些使用 -x -h 的命令上，它要求输入尚未设置的密码):

如果我运行 ldapsearch，那么我似乎能够连接到 openLDAP：

我想也许我可以使用 Windows LDAP 工具进行外部连接，但出现连接错误。我确实确认该端口已打开并且在外部可见。

我尝试使用 -h 而不是 -H：

这会提示我输入密码，但我刚刚安装了 openLDAP，还没有设置密码（olcRootPW 在我尝试应用的 ldif 文件中）。

有没有人有使用 openLDAP 进行用户身份验证的经验，或者有任何想法需要更改哪些配置才能使其运行？