如何使用 IdM 在 Linux 中建立漫遊主目錄

漫遊主目錄是管理本地網路中多台電腦的巧妙方法。它的工作原理是利用 IdM 伺服器來維護使用者清單和保存使用者資料的 NFS 伺服器。這允許您登入網路中的任何電腦並每次都獲取相同的文件集。

本文將向您展示如何在 RHEL 8 中使用紅帽 IdM 建立漫遊主目錄以及身分識別管理伺服器。此外，它還將向您展示如何註冊本機電腦以使用相同的身分和漫遊目錄系統。

1. 設定紅帽 IdM 伺服器

假設：本指南假設您有一個域名，其中 A 和 PTR 記錄指向您的 IdM 電腦的 IP 位址和主機名稱。

將 IdM 伺服器的主機名稱設定為完整網域名稱：

sudo hostnamectl set-hostname idm.mte.home.arpa

開啟 IdM 伺服器的相關連接埠：

sudo firewall-cmd --permanent --add-port={80/tcp,443/tcp,389/tcp,636/tcp,88/tcp,88/udp,464/tcp,464/udp,53/tcp,53/udp}sudo firewall-cmd --reload

為 IdM 伺服器二進位檔案啟用儲存庫模組：

sudo dnf module enable idm:DL1
sudo dnf distro-sync

將 IdM 伺服器端二進位檔案取得到您的電腦：

sudo dnf module install idm:DL1/dns

安裝並設定紅帽 IdM 伺服器

執行下列命令啟動 IdM 伺服器安裝程序：

sudo ipa-server-install --mkhomedir

鍵入“yes”，然後Enter在安裝程式詢問您是否要在 IdM 設定中包含整合 DNS 伺服器時按下。

輸入伺服器的主機名，然後按Enter。

按Enter兩次以確認網路域名。

為網路目錄管理器提供安全密碼，然後按Enter。這類似於 Web 伺服器的資料庫根密碼。

為 IdM 伺服器的管理員使用者提供不同的安全密碼，然後按Enter。這將作為您在網路中的主要管理帳戶。

透過鍵入「yes」啟用 IdM 伺服器的 DNS 轉送功能，然後按Enter。

按Enter兩次接受 IdM 伺服器域值的預設值。

輸入“no”，然後按下Enter停用 IdM 中的反向區域查找。

按Enter兩次，然後鍵入“yes”，然後Enter再次按一次以完成伺服器的配置並開始安裝程序。

前往您的 DNS 註冊商並為您的 IdM 子網域建立 NS 記錄。該記錄應指向您的 IdM 伺服器的主機名稱。例如，我的 IdM 子網域的 NS 記錄：「mte.home.arpa.」指向我的「idm.mte.home.arpa.」IdM 伺服器。

2. 在 IdM 伺服器上啟用 NFS 自動掛載

為新的 NFS 服務開啟相關連接埠：

sudo firewall-cmd --permanent --add-service=nfs
sudo firewall-cmd --reload

執行以下命令為 NFS 服務建立 IdM 票證：

kinit admin
sudo ipa service-add nfs/idm.mte.home.arpa
sudo ipa-getkeytab -p nfs/idm.mte.home.arpa -k /etc/krb5.keytab

在“/etc/exports.d/”下為您的漫遊主目錄建立一個新檔案：

sudo nano /etc/exports.d/home.exports

將以下程式碼行貼到新的匯出檔案中：

/home *(sec=krb5:krb5p:krb5i,rw)

儲存“home.exports”文件，然後執行以下命令將其應用到您的伺服器：

sudo exportfs -rav

啟動 NFS 伺服器以啟用其新設定：

sudo systemctl enable --now nfs-server

透過執行以下命令檢查您的 IdM 伺服器是否正確匯出其“/home”：

sudo exportfs -s

透過建立自動掛載映射和金鑰來連結 NFS 和 IdM 伺服器：

kinit admin
sudo ipa automountmap-add-indirect default auto.home --mount=/home
sudo ipa automountkey-add default auto.home --key "*"--info "idm.mte.home.arpa:/home/&"

3. 將使用者加入 IdM

開啟 Web 瀏覽器並導航至 IdM 伺服器的網域名稱。這將開啟伺服器的 Web 控制台。使用 IdM 管理員的憑證登入此控制台。

選擇 Web 控制台左側邊欄上的「Stage Users」類別。

點選頁面右中角的“新增”按鈕。

這將打開一個小窗口，您可以在其中提供新用戶的詳細資訊。填寫除“類別”之外的所有字段，然後按一下“新增”。

勾選您的使用者帳戶旁的複選框，然後按一下「啟動」以啟用新使用者。

最後，使用您的 IdM 帳戶登入您的 IdM 伺服器以產生“/home”目錄。

4. 將新機器加入 IdM 系統

在本機電腦中安裝 IdM 用戶端二進位檔案：

sudo dnf module install idm

透過執行以下命令啟動 IdM 客戶端安裝程序：

sudo ipa-client-install --enable-dns-updates

在NTP提示符號下鍵入“no” ，然後按Enter。

然後，該ipa-client-install程式將列印 IdM 伺服器詳細資訊的摘要。輸入“是”，然後按Enter開始註冊程序。

提供您網路的 IdM 管理員的使用者名，輸入其密碼，然後按Enter。

在 IdM 用戶端電腦上啟用自動掛載

執行以下命令將 IdM 自動掛載詳細資訊連結到您的客戶端電腦：

sudo ipa-client-automount

重新啟動系統自動掛載守護程序的一些關鍵服務：

sudo systemctl restart rpc-gssd
sudo systemctl restart rpcbind
sudo systemctl restart nfs-idmapd

重新啟動系統並點擊客戶端系統登入畫面上的「未列出？」。

提供 IdM 使用者的使用者名稱及其密碼，然後按一下「登入」。

透過在 IdM 伺服器上建立檔案並檢查它是否顯示在您的用戶端電腦上來測試您的漫遊目錄是否正常運作。

經常問的問題

是否可以將具有本機 /home 的電腦遷移到漫遊電腦？

是的。您可以透過ipa-client-install在目標計算機上執行該命令來完成此操作。但是，這僅適用於還沒有“/home”目錄的系統。這是因為漫遊目錄總是會覆蓋“/home”，導致正常使用時無法存取本機檔案。

使用漫遊目錄有限制嗎？

漫遊目錄的最大限制之一是檔案系統的速度只能與 NFS 伺服器的網路介面一樣快。例如，如果伺服器的最大吞吐量為 1 Gigabit，則用戶端電腦「/home」上的每個檔案操作都將以 1 Gigabit 執行。

您可以在漫遊目錄中註冊非企業 Linux 電腦嗎？

是和不是。和ipa-server-install程式ipa-client-install都是 Red Hat 特定的工具，旨在在類似 Red Hat 的 Linux 發行版上運作。雖然無法在 Debian 和 Ubuntu 中使用這些版本，但您可以將其他 Red Hat Linux 發行版（例如 Fedora 和 CentOS Stream）註冊到您的 IdM 伺服器。

圖片來源：Marvin Meyer，來自 Unsplash。所有修改和螢幕截圖均由 Ramces Red 進行。