问题标签 [freeipa]

最近在 RHEL 8.3 操作系统中安装了 IPA 客户端。IPA 客户端执行良好，但是当尝试对ssh另一台主机执行操作时，它失败并且没有提示输入密码，也没有密码身份验证，没有运气。故障排除后发现禁用sssd-kcm.socket和sssd-kcm.socket服务使 ssh 到另一台主机按预期工作。但是在运行kinit admin时它返回以下错误kinit: Connection denied while getting default ccache。是的，对于禁用sssd-kcm.socket和sssd-kcm.socket面对此类问题，这是显而易见的，但在这种情况下，我如何才能克服此类问题以及按预期启用sssd-kcm.socket&sssd-kcm.socket和连接。ssh

我已经安装了一个包含 Kerberos 的 FreeIPA 主服务器。此外，我有一台注册了 FreeIPA 的客户端服务器来测试 Kerberos 的 PKINIT 功能。所有服务器都在 CentOS7 上运行。一个 testuser 存在于 FreeIPA 中，并且该用户也列在唯一一个现有的领域中，当作为 testuser@REALMNAME使用list_principals时。kadmin

getprinc testuser也给Attributes: REQUIRES_PRE_AUTH.

我严格按照文档创建了 kdc 和客户端证书：https ://web.mit.edu/kerberos/www/krb5-latest/doc/admin/pkinit.html 。它们已由我自己的 CA 签名，其证书也存在于客户端和主服务器上。

master上的[realm]配置如下：

XXX 是主服务器的 FQDN。此外，客户端配置如下：

AFAIK 我应该能够kinit testuser在客户端上执行以获取 Kerberos 票证而无需输入密码。

不幸的是，执行 env KRB5_TRACE=/dev/stdout kinit -V testuser产生：

主服务器确认这一点。/var/log/krb5kdc.log 产生：

此时，我真的不知道，为什么会发生这种故障。证书是按照上面链接的文档严格创建的。在检查带有相应偏移量的证书时openssl asn1parse -in certificate.pem -strparse OFFSET，我得到了 SubjectAltName, othername 部分：

对于客户端证书和

kdc证书

目前，我对为什么这不起作用感到很迷茫。

PS：我已经用 XXX 重新映射了真正的主服务器的 FQDN，它的 IP 用 XXX_IP。

我要从 LDAP 服务器检索用户和组并将它们传输到免费 IPA 服务器。我正在使用 ansible：https ://docs.ansible.com/ansible/latest/collections/community/general/ldap_search_module.html来测试场景。是否有可用于测试的公共 LDAP 服务器？我可以在 Linux 上设置 LDAP 服务器。有没有办法让测试数据加载到该 LDAP 服务器中？

谢谢！

我正在我的组织内部署一个 ELK 堆栈，并希望将其与我们的 LDAP (FreeIPA) 集成。目前，ELK 堆栈正在使用 docker 和 docker-compose 进行部署。

问题是：按照官方手册中的步骤（无论是亚马逊手册还是 OpenDistros 手册本身），ES 似乎都没有尝试查询 LDAP 树（在将 tcpdump 运行在我的 ldap 侦听的端口中之后）。话虽如此，我在哪里可以找到有关 LDAP 连接模块的更多信息的应用程序日志？

不确定这是否是正确的地方，但我很好奇是否有人知道在 KeyCloak 和/或 FreeIPA 中强制执行命名约定的方法。这样做的原因是，有人会认为您可以对用户帐户创建的特定命名约定执行策略。我已经在 phpmyadmin 等数据库中看到了这一点？

我试图弄清楚我们如何将命名约定强制为以下格式：firstname.lastname

随后，防止任何人在此约定之外创建用户帐户。

安装 FreeIPA 容器：

服务器已安装并部署。伟大的！我通过端口 389 上的 LDAP 浏览器轻松连接到 localhost。但是我无法以任何方式通过 Ipa/ui 中的普通浏览器进行连接。ipa.example.test 的地址出现连接错误。

docker 网桥地址 [vEthernet(WSL)] 172.21.224.1。如果我使用它来访问 curl，我会收到消息：带有要访问https://ipa.example.test/ipa/ui的地址- 我需要它并且不起作用。你能告诉我我做错了什么吗？

我已经复制了 freeIPA 服务器的多主机环境。现在，如果我失去了第一台主服务器，那么我如何提升第二台复制的主服务器来代替第一台主服务器？

假设我有以下 freeIPA 的主服务器-

第一大师- ipa-server.xyz.com

复制主- ipa-replica.xyz.com

我的所有应用程序（如 Jenkins、GitLab 等）都使用ipa-server.xyz.com进行身份验证。现在我失去了我的第一台主服务器。如何使用我的复制主服务器代替第一个？

将selinux 策略更改为禁用以强制执行后显示以下消息，

在尝试使用管理员或其他用户帐户凭据通过 IPA 门户登录时，但如果任何用户通过控制台登录，则不会发生任何问题。

在 FreeIPA 上，我创建了用户并创建了一个名为“redmineusers”的组，这样只有属于该组的用户才能登录。我能够从 EasyRedmine 成功连接到 LDAP，并且能够成功登录到 EasyRedmine。但是，我们在 FreeIPA 上的所有用户都使用 FreeIPA 中设置的密码和 OTP 令牌设置了 2FA。当用户首次使用其密码和 OTP 令牌登录时，用户能够成功登录。但是，之后的每次登录尝试都会失败。当我尝试使用未设置 OTP 令牌的用户帐户时，它能够成功登录多次而没有问题。有没有可能使用 FreeIPA 中已设置的密码和 OTP 令牌登录 EasyRedmine 的方法？

有没有人成功地将两个freeipa系统连接到一个vpn？我找不到任何文件证明这是可能的。我还没有尝试过任何东西。问题是 LDAP/AD 是单点登录；或本质上是一个合并的地址簿。

通过安装两个，问题是......它将如何优先考虑用户？