问题标签 [freeipa]

我已经建立了一个 FreeIPA 服务器。我面临一个问题，即首次创建用户时密码已过期。因此，新用户在第一次登录时应始终设置他的密码，这在此处定义。但我不想要这个功能。

我正在使用这个库在 FreeIPA 中创建或添加用户。

所以，我像这样连接FreeIPA-

然后像这样添加一个用户-

此代码工作正常并添加了用户。

然后我用这个代码设置密码-

密码也设置得很完美。但是设置的密码在设置后会自动过期。

我希望我的用户拥有此密码至少 1 周。所以，我想禁用这个功能。有什么实用的方法吗？

回覆-

我在 FreeIPA 中创建了这个问题，为我们提供了一种解决方法，但问题已关闭并标记为 - Closed: wontfix。所以，我想知道是否存在解决方法？

我们尝试了 sssd 实用程序，它对 Windows AD 进行 LDAP 身份验证，但是我们必须管理单个服务器的用户/组权限，sssd 没有中央管理。

此外，我们正在尝试使用 FREEIPA，但它似乎是另一个目录服务，我们需要创建另一个域，然后在 windows 域和 IPA 域之间建立信任，但是我们不想选择该路由。

有没有办法在不创建 FREEIPA 域的情况下将 FreeIPA 与 Windows AD 集成。

我的问题是我有一个未启用 FIPS 的 FreeIPA 服务器主服务器，而我尝试创建的副本启用了 FIPS。尝试在另一台机器上安装副本时失败。FIPS 需要在我们的环境中启用。我的问题是：

1. 我是否可以在副本中禁用 FIPS，然后创建启用所有主角色的副本，然后重新打开 FIPS？这有什么问题吗？

2. 如果第 1 条不可能，是否有关于如何将原始主服务器备份和还原到不同 AWS 映像的好文章，这可能吗？新映像将启用 FIPS。

@abbra

我有一个具有这种格式的多行文件（反向 dns 条目）：

251.2.168.192.in-addr.arpa core.admin.my.lan.

我正在尝试将该行分解为多个变量，以便我可以使用它们来重新创建其 IP 地址，并用作 IPA DNS 入口行

( ipa dnsrecord-add admin.my.lan core --a-rec 192.168.2.251)。

到目前为止，我已经能够想出这个：

但这只会创建第一个变量$first：

请问我做错了什么？

在我的 RHEL7.2 工作站中，我看到许多 TIME_WAIT 从本地端口到端口 111 的连接。

这些客户端系统涉及繁重的 ssh（即执行 ssh 连接的自动化脚本）。客户端也有 15-20 个 NFS 挂载点。

这些客户端配置为通过 NIS 服务器（ypbind 服务）验证用户帐户。

这种设置工作了 2-3 年多，但最近从 NIS 迁移到 IPA 服务器后，我遇到了这个问题。

即使我在列出 NFS 目录时遇到过时文件句柄错误，当 TIME_WAIT 连接没有达到接近 30000 时也会发生这种情况。

我有近 300 个客户，正在寻找一些永久的解决方案，不想做变通方法。我探索了一些解决方案，但没有一个对我有用。

运行以下命令时出现错误：

错误：

systemd 239 在系统模式下运行。（+PAM +AUDIT +SELINUX +IMA -APPARMOR +SMACK +SYSVINIT +UTMP +LIBCRYPTSETUP +GCRYPT +GNUTLS +ACL +XZ +LZ4 +SECCOMP +BLKID +ELFUTILS +KMOD +IDN2 -IDN +PCRE2 default-hierarchy=legacy）

检测到虚拟化容器-其他。

检测到架构 x86-64。将主机名设置为<ipa.example.test>.

从随机生成器初始化机器 ID。

无法移动剩余的用户空间进程，忽略：输入/输出错误

2020 年 3 月 22 日星期日 16:47:43 UTC /usr/sbin/ipa-server-configure-first

内核中启用了 IPv6 堆栈，但没有分配 ::1 地址的接口。将 ::1 地址解析添加到“lo”接口。您可能需要在 sysctl.conf 中的接口“lo”上启用 IPv6。ipa-server-install 命令失败。有关详细信息，请参阅 /var/log/ipaserver-install.log

最后一部分说我需要在 sysctl.conf 中的接口“lo”上启用 IPv6。

这是 的输出ifconfig。它已经启用。不是吗？

我也找不到太多关于

任何指针？我正在关注这个资源： https ://github.com/freeipa/freeipa-container

主机操作系统是Ubuntu 19.10。我已经成功地使用 启动了FreeIPA容器docker run，但我想让它在 compose 中工作。当我运行时docker-compose up，freeipa 崩溃并出现以下错误：

我目前的配置：

在此处链接到完整（非常大）的撰写文件

我在 Docker 中启用了 ipv6 并重新加载了守护进程：

在这篇博文之后，我检查了容器中的接口配置：

从我在这里看到的情况来看，环回设备似乎不应该有问题。

我想强制我们的办公室用户在连接到我们办公室的 WiFi 时输入他们的 LDAP 凭据。所以我按照以下说明安装了 FreeRadius： Using FreeIPA and FreeRadius。

使用 radtest，我可以成功地使用 PAP 对我们的 FreeIPA 服务器进行身份验证。接下来，我在 Windows 10 笔记本电脑上配置了 WiFi 连接，以使用 EAP-TTLS 作为身份验证方法，同时选择 PAP 作为非 EAP 方法。当连接到 WiFi AP 时，我再次可以成功地通过我们的 FreeIPA 服务器进行身份验证。但我意识到这是不安全的，因为密码是以明文形式发送的。

所以接下来我在我的 Windows 10 笔记本电脑上配置了 WiFi 连接，以使用 PEAP 作为 EAP-MSCHAP v2 的 EAP 方法的身份验证方法。但现在身份验证失败。FreeRadius 调试日志的摘录显示：

我正在努力寻找解决方案。我在网上找到了 eap、mschap 和 ldap 文件的各种配置，但到目前为止我还没有解决我的问题。

我不确定我问的问题是否正确，但 Windows 客户端发送的密码哈希是否与 FreeIPA 使用的密码哈希不兼容？

使用本指南安装了带有 SSL 的 FreeIPA：https ://www.howtoforge.com/how-to-install-freeipa-server-on-centos-7/

完成后，可通过https://ipa.hakase-labs.io/访问。

在 /root/ 路径下生成了两个文件：

• ca-agent.p12
• cacert.p12

如果使用自己准备的 CA 文件，我们可以知道 .crt 文件在哪里。并将其设置为客户端服务器以连接到 LDAP（FreeIPA）服务器。

但是默认情况下它在哪里？

我在 Centos 7 上运行 FreeIPA 4.6.6。但是我只想为特定 ldap 组的成员强制执行 2FA（密码 + OTP）？那可能吗？