問題タブ [freeipa]

FreeIPA サーバーをセットアップしました。ユーザーが最初に作成されたときにパスワードが期限切れになるという問題に直面しています。したがって、新しいユーザーは、最初にログインするときに、ここで定義されているパスワードを常に設定する必要があります。しかし、私はこの機能を望んでいません。

このライブラリを使用して、FreeIPA でユーザーを作成または追加しています。

だから、私はこのようにFreeIPAに接続します-

次に、このようにユーザーを追加します-

このコードは正常に機能し、ユーザーが追加されます。

次に、このコードでパスワードを設定しています-

パスワードもバッチリ設定。ただし、設定したパスワードは設定直後は自動的に失効します。

ユーザーが少なくとも 1 週間はこのパスワードを保持するようにします。したがって、この機能を無効にしたいと思います。実用的な方法はありますか？

再

回避策を提供するために FreeIPA でこの問題を作成しましたが、問題はクローズされ、「クローズド: 修正されません」とマークされています。それで、回避策があるのだろうか？

RHEL7.2 ワークステーションのローカル ポートからポート 111 への TIME_WAIT 接続が非常に多く見られます。

これらのクライアント システムは、負荷の高い ssh (つまり、ssh 接続を行う自動化されたスクリプト) に関与しています。クライアントには、15 ～ 20 個の NFS マウント ポイントもあります。

これらのクライアントは、NIS サーバー (ypbind サービス) を介してユーザー アカウントを認証するように構成されています。

このセットアップは 2 ～ 3 年以上機能していましたが、最近 NIS から IPA サーバーに移行した後、この問題が発生しています。

NFS ディレクトリの一覧表示中に古いファイル ハンドル エラーが発生しても、これは TIME_WAIT 接続が 30000 近くに達すると発生します。

私はほぼ 300 のクライアントを抱えており、恒久的な解決策を探していますが、回避策を実行したくありません。私はいくつかの解決策を検討しましたが、どれもうまくいきませんでした。

オフィスの WiFi に接続するときに、オフィスのユーザーに LDAP 資格情報の入力を強制したいと考えています。そこで、次の指示に従って FreeRadius をインストールしました: Using FreeIPA and FreeRadius。

radtest を使用すると、PAP を使用して FreeIPA サーバーに対して正常に認証できます。次に、Windows 10 ラップトップで WiFi 接続を構成して、認証方法として EAP-TTLS を使用し、非 EAP 方法として PAP を選択しました。ここでも、WiFi AP に接続するときに、FreeIPA サーバーに対して正常に認証できます。しかし、パスワードは平文で送信されるため、安全ではないことがわかりました。

次に、Windows 10 ラップトップで WiFi 接続を構成して、EAP-MSCHAP v2 の EAP メソッドで PEAP を認証メソッドとして使用しました。しかし、今は認証に失敗します。FreeRadius デバッグ ログからの抜粋は次のとおりです。

私は解決策を見つけるのに苦労しています。eap、mschap、ldap ファイルのさまざまな構成をオンラインで見つけましたが、これまでのところ問題は解決していません。

正しい質問をしているかどうかわかりませんが、Windows クライアントから送信されたパスワード ハッシュは、FreeIPA が使用するパスワード ハッシュと互換性がありませんか?