我们有几台Linux机器(运行各种版本的Fedora和CentOS,但不应该是相关的)与本地用户。 这些本地用户中的大多数是相同的login名,但可能根据创build时间和创build人的不同而具有不同的UID / GID。 我们要消除这种情况,并在FreeIPA上落户
如何将现有的本地Linux用户映射到FreeIPA用户?
只是为了更加清楚:鉴于我有一个本地用户在机器上称为abc和FreeIPA用户名为abc ,并且ook被设置为一个FreeIPA主机,可以访问ook ,当我ssh到ook作为abc时(通过ssh abc@ook ),然后提示inputFreeIPA的密码。 更好的是,因为我为用户abc定义了一个公钥,所以我应该在没有密码的情况下login,只要我在ook上进行身份validation和授权。 ~abc是在本地帐户(在FreeIPA被引入之前)中存在的任何东西,而不是具有相同login名但是不同UID / GID的另一个帐户。
这可能吗?
显然,这与https://serverfault.com/q/754922/132934有关。
我不认为这里有什么魔力:在某个时候,你将不得不确保UID / GID的唯一性和所有服务器之间的alignment,然后包括在LDAP中。 如果alignment没有实现,那么你有意想不到的权限。 如何做到这一点?
一旦到处alignment,因为服务器被configuration为依赖于LDAP(PAM和NSS),本地帐户和组不再需要,应该被删除,恕我直言。