web-dev-qa-db-ja.com

logcallinuxユーザーをFreeIPAユーザーに移行する

ローカルユーザーと一緒にいくつかのLinuxマシン(FedoraとCentOSのさまざまなバージョンを実行していますが、それは関係ないはずです)があります。これらのローカルユーザーのほとんどは同じログイン名ですが、作成された日時と作成者に基づいてUID/GIDが異なる場合があります。この状況をサニタイズして、 FreeIPA に落ち着きたい

既存のローカルLinuxユーザーをFreeIPAユーザーにマップするにはどうすればよいですか?

明確にするために、マシンabcookというローカルユーザーとabcというFreeIPAユーザーがいて、ookが次のように設定されているとします。 ookにアクセスできるFreeIPAホストで、(ssh abc@ookを介して)abcとしてsshを実行すると、FreeIPAからのパスワードの入力を求められます。さらに良いことに、ユーザーabcの公開鍵を定義したので、ookで認証および承認されている場合は、パスワードなしでログインする必要があります。 ~abcは、ローカルアカウント(FreeIPAが導入される前)に存在していたものであり、同じログイン名で異なるUID/GIDを持つ別のアカウントではありません。

これは可能ですか?

明らかに、これは https://serverfault.com/q/754922/132934 に関連しています。

linuxldapkerberosfreeipa
2
Sardathrion - against SE abuse

ここに魔法はないと思います。いつか、UID/GIDの一意性を確保する必要がありますおよびすべてのサーバー間でアライメントを行い、LDAPを含めます。アラインメントが達成されない場合、あなたは予期しない許可を持っています。これを達成する方法は?

  • すべての/ etc/passwdおよび/ etc/groupからすべてのUID/GIDを収集します
  • 違いと競合がある場合はそれを測定します(LDAPの既存のUID/GIDとの比較を含む)
  • 調整されていないアカウントのターゲットUID/GIDを定義する
  • usermod/grpmodeは、UIDとGIDを変更します
  • 必要に応じてchmodとchown

サーバーがLDAP(PAMおよびNSS)に依存するように構成されているため、どこでも調整されると、ローカルアカウントとグループは不要になり、削除する必要があります、IMHO。

3
Christian