6.2. 使用特权 SSSD 容器注册身份管理域
这个步骤描述了如何安装 SSSD 容器并根据身份管理服务器进行注册。在安装过程中:
- 将各种配置和数据复制到容器中。
- 用于配置身份管理客户端的 ipa-client-install 工具启动。
- 在成功注册到身份管理域后,配置和数据将复制到 Atomic 主机系统中。
先决条件
您需要以下之一:
将 Atomic 主机系统的一次性客户端随机密码注册到身份管理域。要生成密码,请在 Identity Management 服务器中添加 Atomic Host 系统作为 Identity Management 主机,例如:
$ ipa host-add <atomic.example.com> --random [... output truncated ...] Random password: 4Re[>5]OB$3K($qYs:M&}B [... output truncated ...]
详情请参阅在 Linux 域身份、身份验证和策略指南中的 安装客户端。https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Linux_Domain_Identity_Authentication_and_Policy_Guide/client-install.html
-
允许注册客户端的 Identity Management 用户的凭证。默认情况下,这是
admin
用户。
步骤
使用
atomic install
命令启动 sssd 容器安装,并提供允许注册新主机的 IdM 用户的随机密码或凭证。在大多数情况下,这是admin
用户。# atomic install rhel7/sssd --password "4Re[>5]OB$3K($qYs:M&}B" [... output truncated ...] Service sssd.service configured to run SSSD container. [... output truncated ...]
# atomic install rhel7/sssd -p admin -w <admin_password> [... output truncated ...] Service sssd.service configured to run SSSD container. [... output truncated ...]
atomic install rhel7/sssd
命令接受标准 ipa-client-install 选项。根据您的配置,您可能需要使用这些选项提供额外的信息。例如,如果 ipa-client-install 无法确定您的服务器的主机名和域名,请使用--server
和--domain
选项:# atomic install rhel7/sssd --password "4Re[>5]OB$3K($qYs:M&}B" --server <server.example.com> --domain <example.com>
注意您也可以将选项传递给
ipa-client-install
,方法是将它们保存到 Atomic 主机上的/etc/sssd/ipa-client-install-options
文件中,然后再运行atomic install
。例如,该文件可以包含:--password=4Re[>5]OB$3K($qYs:M&}B --server=server.example.com --domain=example.com
使用以下命令之一在容器中启动 SSSD:
# atomic run rhel7/sssd
# systemctl start sssd
可选。确认容器正在运行:
# docker ps CONTAINER ID IMAGE 5859b9366f0f rhel7/sssd
可选。确认 Atomic 主机上的 SSSD 从身份管理域解析身份。
获取 Identity Management 用户的 Kerberos 票据,并使用 ssh 实用程序登录 Atomic 主机。
$ atomic run sssd kinit <idm_user> $ ssh <idm_user>@<atomic.example.com>
使用 id 实用程序验证您是否以预期用户身份登录:
$ id uid=1215800001(idm_user) gid=1215800001(idm_user) groups=1215800001(idm_user) context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023
使用 hostname 工具验证您是否登录到 Atomic Host 系统:
$ hostname atomic.example.com