У нас есть несколько Linux-машин (на которых работают разные версии Fedora и CentOS, но это не должно быть актуально) с локальными пользователями. Большинство этих локальных пользователей имеют одинаковое имя для входа, но могут иметь разные UID / GID в зависимости от того, когда и кем они были созданы. Мы хотим оздоровить это положение дел и остановились на FreeIPA
Как я могу сопоставить уже существующих локальных пользователей Linux с пользователем FreeIPA?
Для большей ясности: учитывая, что у меня есть локальный пользователь с именем abc
на машине ook
и пользователь FreeIPA позвонил abc
, и ook
настроен как хост FreeIPA с доступом для ook
, когда я ssh в ook как abc (через ssh abc@ook
), то мне будет предложено ввести пароль от FreeIPA. Еще лучше, так как я определил открытый ключ для пользователя abc
Я должен войти в систему без пароля при условии, что я аутентифицирован и авторизован на ook
. В ~abc
это все, что присутствовало в локальной учетной записи (до появления FreeIPA), а не другая учетная запись с тем же именем входа, но с другим UID / GID.
Это возможно?
Ясно, что это связано с https://serverfault.com/q/754922/132934.
Я не думаю, что здесь есть какая-то магия: когда-нибудь вам придется обеспечить уникальность UID / GID и выравнивание по всем серверам, а затем в LDAP. Если выравнивание не достигнуто, у вас могут быть неожиданные разрешения. Как этого добиться?
После повсеместного выравнивания, поскольку серверы настроены на использование LDAP (PAM и NSS), локальные учетные записи и группы больше не требуются и должны быть удалены, IMHO.