将logcal用户迁移到FreeIPA用户

Question

我们有几台Linux机器(运行各种版本的Fedora和CentOS，但这与本地用户无关)。大多数本地用户都是相同的登录名，但可能有不同的UID/GID，这取决于创建它们的时间和对象。我们想净化这种状况，并在FreeIPA上做了决定

如何将已经存在的本地Linux用户映射到FreeIPA用户？

需要特别清楚的是:鉴于我有一个名为abc的本地用户ook和一个名为abc的FreeIPA用户，而ook被设置为具有ook访问权限的FreeIPA主机，当我将ssh转换为ook作为abc (通过ssh abc@ook)时，提示我输入来自FreeIPA的密码。更好的是，由于我为用户abc定义了一个公钥，我应该在没有密码的情况下登录，前提是我是在ook上进行身份验证和授权的。~abc是本地帐户中存在的内容(在引入FreeIPA之前)，而不是具有相同登录名但具有不同UID/GID的其他帐户。

这个是可能的吗？

显然，这与https://serverfault.com/q/754922/132934有关。

Answer 1

我不认为这里有什么神奇之处:在某个时候，您必须确保UID/GID在所有服务器上的唯一性和对齐性，包括在LDAP中。如果没有实现对齐，那么amy就有了意外的权限。如何做到这一点？

• 从all /etc/passwd和/etc/group收集所有UID/GID
• 差异和冲突(包括与LDAP中现有的UID/GID的比较)
• 为未对齐的帐户定义目标UID/GID
• usermod / grpmode更改UID和GID
• 当需要时，chmod和chown

一旦在任何地方对齐，由于服务器被配置为依赖LDAP (PAM和NSS)，本地帐户和组不再是必需的，应该删除IMHO。