Kusakata: 翻訳

2016-10-25T12:27:56Z

翻訳

新規ページ

[[Category:ネットワーク]]
[[Category:セキュリティ]]
[[en:FreeIPA]]
FreeIPA はオープンソースの ID, ポリシー, 監査 (IPA) スイートです。RedHat が支援しており Microsoft の Active Directory と同じようなサービスを提供します。

== IPA クライアントとして設定 ==

時刻が同期されていることを確認してください。時刻にズレがあると Kerberos は機能しません。[[Network_Time_Protocol_daemon|NTP]] が推奨されています。

LDAP 認証の手順に従って [[LDAP 認証#SSSD によるオンライン・オフライン認証|SSSD をセットアップ]]してください。以下のような SSSD 設定を使って、必要なフィールドは置き換えてください:

{{hc|/etc/sssd/sssd.conf|2=
[sssd]
config_file_version = 2
services = nss, pam, sudo, ssh
domains = EXAMPLE.COM
#debug_level = 9

[domain/EXAMPLE.COM]
#debug_level = 9
cache_credentials = true
krb5_store_password_if_offline = true
id_provider = ipa
auth_provider = ipa
access_provider = ipa
chpass_provider = ipa
#ipa_domain=ipa.example.com # Optional if you set SRV records in DNS
#ipa_server=controller.example.com # Optional if you set SRV records in DNS
ipa_hostname=fqdn.for.machine}}

[[LDAP_認証#PAM の設定|LDAP]] と同じように pam も設定します。{{ic|pam_ldap.so}} を {{ic|pam_sss.so}} に置き換えてください。

{{ic|/etc/krb5.conf}} ファイルを作成:

{{hc|/etc/krb5.conf|2=
[libdefaults]
default_realm = EXAMPLE.COM
dns_lookup_realm = false
dns_lookup_kdc = false
rdns = false
ticket_lifetime = 24h
fowardable = yes
#allow_weak_crypto = yes # Only if absolutely necessary. Currently FreeIPA supports strong crypto.

[realms]
EXAMPLE.COM = {
admin_server = controller.example.com
kdc = controller.example.com:749
default_admin = example.com
}

[domain_realm]
example.com = EXAMPLE.COM
.example.com = EXAMPLE.COM

[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmin.log
}}

IPA サーバーからクライアントを追加してください ([https://docs.fedoraproject.org/en-US/Fedora/15/html/FreeIPA_Guide/linux-manual.html Fedora のドキュメント] を参照):
# 管理者セッションにログイン: {{ic|kinit admin}}
# ホストエントリを作成: {{ic|1=ipa host-add --force --ip-address=192.168.166.31 client1.example.com}}<br />(ホストに固定 IP がない場合、{{ic|1=ipa host-add client1.example.com}} を使ってください)
# IPA でクライアントを管理するように設定: {{ic|1=ipa host-add-managedby --hosts=controller.example.com client1.example.com}}
# クライアントの keytab を生成: {{ic|ipa-getkeytab -s controller.example.com -p host/client1.example.com -k /tmp/client1.keytab}}

生成した keytab をクライアントにインストール:
$ scp user@controller.example.com:/tmp/client1.keytab krb5.keytab
# mv krb5.ketab /etc/krb5.keytab

=== SSH の統合 ===

==== authorized_keys ====

{{ic|1=/etc/ssh/sshd_config}} の以下の行をアンコメントすることで LDAP ディレクトリからユーザーの SSH 公開鍵を取得するように sshd を設定できます:

AuthorizedKeysCommand /usr/bin/sss_ssh_authorizedkeys
AuthorizedKeysCommandUser nobody

設定したら sshd を再起動してください。

ウェブインターフェイスを使用するか {{ic|1=-sshpubkey='ssh-rsa AAAA...'}} 引数を使って {{ic|1=ipa user-mod}} または {{ic|1=ipa user-create}} コマンドを実行することで FreeIPA のユーザーアカウントに ssh を追加できます。

ssh 鍵をテスト:

# sudo -u nobody sss_ssh_authorizedkeys <username>

ssh 公開鍵が標準出力に表示され何もエラーメッセージが表示されなければ問題ありません。

==== known_hosts ====

{{ic|1=/etc/ssh/ssh_config}} に以下の行を追加することで FreeIPA のディレクトリエントリからホストの公開鍵の情報を取得するように ssh を設定できます:

GlobalKnownHostsFile /var/lib/sss/pubconf/known_hosts
ProxyCommand /usr/bin/sss_ssh_knownhostsproxy -p %p %h

== 参照 ==

* [https://docs.fedoraproject.org/en-US/Fedora/15/html/FreeIPA_Guide/linux-manual.html Manually Configuring a Linux Client] from the FreeIPA user guide
* [https://www.freeipa.org/images/1/10/Freeipa30_SSSD_OpenSSH_integration.pdf Freeipa30_SSSD_OpenSSH_integration.pdf]

FreeIPA - 版の履歴

Kusakata: 翻訳