ローカルユーザーと一緒にいくつかのLinuxマシン(FedoraとCentOSのさまざまなバージョンを実行していますが、それは関係ないはずです)があります。これらのローカルユーザーのほとんどは同じログイン名ですが、作成された日時と作成者に基づいてUID/GIDが異なる場合があります。この状況をサニタイズして、 FreeIPA に落ち着きたい
既存のローカルLinuxユーザーをFreeIPAユーザーにマップするにはどうすればよいですか?
明確にするために、マシンabc
にook
というローカルユーザーとabc
というFreeIPAユーザーがいて、ook
が次のように設定されているとします。 ook
にアクセスできるFreeIPAホストで、(ssh abc@ook
を介して)abcとしてsshを実行すると、FreeIPAからのパスワードの入力を求められます。さらに良いことに、ユーザーabc
の公開鍵を定義したので、ook
で認証および承認されている場合は、パスワードなしでログインする必要があります。 ~abc
は、ローカルアカウント(FreeIPAが導入される前)に存在していたものであり、同じログイン名で異なるUID/GIDを持つ別のアカウントではありません。
これは可能ですか?
明らかに、これは https://serverfault.com/q/754922/132934 に関連しています。
ここに魔法はないと思います。いつか、UID/GIDの一意性を確保する必要がありますおよびすべてのサーバー間でアライメントを行い、LDAPを含めます。アラインメントが達成されない場合、あなたは予期しない許可を持っています。これを達成する方法は?
サーバーがLDAP(PAMおよびNSS)に依存するように構成されているため、どこでも調整されると、ローカルアカウントとグループは不要になり、削除する必要があります、IMHO。