Назад | Перейти на главную страницу

Миграция пользователей logcal linux на FreeIPA

У нас есть несколько Linux-машин (на которых работают разные версии Fedora и CentOS, но это не должно быть актуально) с локальными пользователями. Большинство этих локальных пользователей имеют одинаковое имя для входа, но могут иметь разные UID / GID в зависимости от того, когда и кем они были созданы. Мы хотим оздоровить это положение дел и остановились на FreeIPA

Как я могу сопоставить уже существующих локальных пользователей Linux с пользователем FreeIPA?

Для большей ясности: учитывая, что у меня есть локальный пользователь с именем abc на машине ook и пользователь FreeIPA позвонил abc, и ook настроен как хост FreeIPA с доступом для ook, когда я ssh в ook как abc (через ssh abc@ook), то мне будет предложено ввести пароль от FreeIPA. Еще лучше, так как я определил открытый ключ для пользователя abc Я должен войти в систему без пароля при условии, что я аутентифицирован и авторизован на ook. В ~abc это все, что присутствовало в локальной учетной записи (до появления FreeIPA), а не другая учетная запись с тем же именем входа, но с другим UID / GID.

Это возможно?


Ясно, что это связано с https://serverfault.com/q/754922/132934.

Я не думаю, что здесь есть какая-то магия: когда-нибудь вам придется обеспечить уникальность UID / GID и выравнивание по всем серверам, а затем в LDAP. Если выравнивание не достигнуто, у вас могут быть неожиданные разрешения. Как этого добиться?

  • сбор всех UID / GID из всех / etc / passwd и / etc / group
  • Измерьте разницу и конфликты, если таковые имеются (включая сравнение с существующим UID / GID в LDAP)
  • определить целевой UID / GID для учетных записей, которые не выровнены
  • usermod / grpmode для изменения UID и GID
  • chmod и chown при необходимости

После повсеместного выравнивания, поскольку серверы настроены на использование LDAP (PAM и NSS), локальные учетные записи и группы больше не требуются и должны быть удалены, IMHO.