Rocky Linux 8
Sponsored Link

FreeIPA : クライアントの設定 (ワンタイムパス)
FreeIPA クライアントとしての設定をします。
FreeIPA サーバー側でワンタイムパスワードを発行して、FreeIPA クライアントからはそのパスワードで認証する場合の設定です。
+----------------------+          |          +----------------------+
| [  FreeIPA Server  ] | || [  FreeIPA Client  ] |
|   +----------+----------+ |
|                      |                     |                      |
+----------------------+                     +----------------------+

[1] FreeIPA サーバー側で FreeIPA クライアントとするホストを統合 DNS に登録しておきます。
(FreeIPA 統合 DNS 未使用の場合は不要)
[root@dlp ~]#
ipa dnsrecord-add node02 --a-rec

  Record name: node02
  A record:
[root@dlp ~]#
ipa host-add --random

Added host ""
  Host name:
  Random password: 7BkPGp560hTfFkT4EP5BrDO
  Password: True
  Keytab: False
  Managed by:
[3] FreeIPA クライアントとするホストに FreeIPA クライアントツールをインストールします。
[root@node02 ~]#
dnf module -y install idm:DL1/client
[4] FreeIPA クライアントとしてセットアップします。
# DNS を FreeIPA サーバーに設定

[root@node02 ~]#
nmcli connection modify enp1s0 ipv4.dns

[root@node02 ~]#
nmcli connection down enp1s0; nmcli connection up enp1s0
# FreeIPA クライアントセットアップ

# [--password] にはサーバーで発行したワンタイムパスワードを指定

[root@node02 ~]#
ipa-client-install --password '7BkPGp560hTfFkT4EP5BrDO'

This program will set up IPA client.
Version 4.9.2


Client hostname:
DNS Domain:
IPA Server:
BaseDN: dc=ipa,dc=srv,dc=world

# 設定を確認して yes 
Continue to configure the system with these values? [no]: yes
Synchronizing time
No SRV records of NTP servers found and no NTP server or pool address was provided.
Using default chrony configuration.
Attempting to sync time with chronyc.
Time synchronization was successful.
Do you want to download the CA cert from ?
(this is INSECURE) [no]: yes
Successfully retrieved CA cert
    Subject:     CN=Certificate Authority,O=IPA.SRV.WORLD
    Issuer:      CN=Certificate Authority,O=IPA.SRV.WORLD
    Valid From:  2021-08-04 03:13:25
    Valid Until: 2041-08-04 03:13:25

Enrolled in IPA realm IPA.SRV.WORLD
Created /etc/ipa/default.conf
Configured sudoers in /etc/authselect/user-nsswitch.conf
Configured /etc/sssd/sssd.conf
Configured /etc/krb5.conf for IPA realm IPA.SRV.WORLD
Systemwide CA database updated.
Adding SSH public key from /etc/ssh/
Adding SSH public key from /etc/ssh/
Adding SSH public key from /etc/ssh/
SSSD enabled
Configured /etc/openldap/ldap.conf
Principal is not set when enrolling with OTP; using principal '' for 'getent passwd'
Configured /etc/ssh/ssh_config
Configured /etc/ssh/sshd_config
Configuring as NIS domain.
Client configuration complete.
The ipa-client-install command was successful

# 必要があれば有効に設定 (初回ログイン時にホームディレクトリを自動生成)

[root@node02 ~]#
authselect enable-feature with-mkhomedir

[root@node02 ~]#
systemctl enable --now oddjobd
[root@node02 ~]#
Rocky Linux 8.4 (Green Obsidian)
Kernel 4.18.0-305.3.1.el8_4.x86_64 on an x86_64

Activate the web console with: systemctl enable --now cockpit.socket

node02 login: rocky       # FreeIPA ユーザー
Password:                 # パスワード
Password expired. Change your password now.  # 初回ログイン時はパスワードの変更が求められる
Current Password:         # 現在のパスワード
New password:             # 新しいパスワード
Retype new password:
[rocky@node02 ~]$         # ログインできた