Linux学习日志day2 Part1——搭建freeIPA服务器实现用户管理以及SSH服务远程登录

            ——作者：江信瀚

搭建freeIPA服务器实现用户管理

服务器端：

yum -y install ipa-server ipa-server-dns bind bind-dyndb-ldap

(ldap:Lightweight Directory Access Protocol)

注意：将本机域名配置到HOSTS文件中

安装IPA的服务器端

ipa-server-install --setup-dns

注意：

Existing BIND configuration detected, overwrite?:yes

输入yes覆盖BIND

Do you want to configure DNS forwarders? [yes]: 

输入一些比较厉害的DNS服务器的IP，如果有些域名无法解析就会去这些厉害的DNS服务器找

Do you want to configure the reverse zone? [yes]: no

询问是否要配置一个反向解析的DNS服务？这个没有什么用，可以no掉

Continue to configure the system with these values? [no]: yes

最后一遍确认，是否使用这些配置开始安装，那必须yes

这个地方很酷，要等好久。因为系统会out of entropy进入爆炸状态，偏方是再开一个终端乱输输命令，据说会加快速度。

---

kinit admin

给管理员用户admin取得票据，并设置admin的管理密码

klist

显示 Kerberos 凭证高速缓存或密钥表的内容。确认操作是否成功，可以看到[email protected]以被添加进去了。

ipa user-add jiang --first=Xinhan --last=Jiang --password

添加IPA用户jiang，并且设置他的初始密码，这个初始密码会在改用户第一次登录的时候被提示要求修改。

可以使用ipa user-find jiang来查找IPA用户jiang的信息

ipa dnsrecord-add example.com server1 --a-rec 192.168.174.200

为IPA的每一台客户端添加DNS条目。格式：ipa dnsrecord-add [域名][主机名][类型][记录IP]

---

---

---

---

SSH服务远程登录

客户机配置

yum -y install ipa-client

下载IPA的客户端

nmcli c modify 网卡名 ipv4.dns 192.168.174.100

注意：因为安装了IPA的客户端，所以网卡的name很有可能被改成了"System 网卡名"，具体情况请查看网卡信息

ipa-client-install

安装IPA的客户端

authconfig --enablemkhomedir --update

设置为自动为用户创建家目录（然而admin用户以外，ipa user-add添加的用户并不能创建家目录，具体原因有待研究）

---

在服务器端配置SSH密钥：

ssh-keygen

配置一个密钥

ssh-copy-id -i 目标客户机域名/IP

从今以后，访问客户机就不再需要密码访问。

另外：

可以在客户机修改一下/etc/ssh/sshd.conf，让客户机更加硬，更加安全

• 可以将端口改掉，这样别人就猜不到端口号，就完全无法暴力破解

    注意：这时候要指定端口才能访问客户机

    手动指定端口：加上参数 -p 端口号

    一劳永逸指定端口：编辑/etc/ssh/ssh.conf

• 不允许root用户登录

    因为root用户可以远程登录的话就很危险，容易出事

• 不允许密码访问

    这时候就只有认证的机器可以远程登录了，无法暴力破解，更加安全