Migrar usuários do logcal linux para os do FreeIPA

2

Temos várias máquinas Linux (rodando várias versões do Fedora e do CentOS, mas isso não deve ser relevante) com usuários locais. A maioria desses usuários locais tem o mesmo nome de login, mas pode ter UID / GIDs diferentes com base em quando e por quem eles foram criados. Queremos higienizar esse estado de situação e nos estabelecermos em FreeIPA

Como posso mapear os usuários Linux locais já existentes para o usuário FreeIPA?

Apenas para ser mais claro: dado que tenho um usuário local chamado abc na máquina ook e um usuário FreeIPA chamado abc , e ook está configurado como um host FreeIPA com acesso para ook , quando eu ssh em ook como abc (via ssh abc@ook ), então eu sou solicitado a senha do FreeIPA. Melhor ainda, desde que eu defini uma chave pública para o usuário abc , eu deveria fazer o login sem uma senha, desde que eu esteja autenticado e autorizado em ook . O ~abc é o que estava presente na conta local (antes da introdução do FreeIPA) e não outra conta com o mesmo nome de login, mas UID / GID diferente.

Isso é possível?

É evidente que isso está relacionado ao link .

    
por Sardathrion 09.02.2016 / 08:43

1 resposta

2

Não creio que exista alguma mágica aqui: em algum momento, você terá que garantir a exclusividade do UID / GID e o alinhamento em todos os servidores, inclusive no LDAP. Caso o alinhamento não seja alcançado, você poderá ter permissões inesperadas. Como conseguir isso?

  • coletando todo o UID / GID de todos os / etc / passwd e / etc / group
  • mesure diferença e conflitos, se houver (incluindo comparação com o UID / GID existente no LDAP)
  • define o UID / GID de destino para contas que não estão alinhadas
  • usermod / grpmode para alterar o UID e o GID
  • chmod e chown quando necessário

Uma vez alinhados em todos os lugares, como os servidores são configurados para confiar no LDAP (PAM e NSS), contas e grupos locais não são mais necessários e devem ser removidos, IMHO.

    
por 13.01.2017 / 16:37