Amazon Linux 2023 に FreeIPA クライアントをインストールしたい。
残念ながら、Amazon Linux 2023 ではこのパッケージは公式にはサポートされていません。回避策として、Fedora リポジトリをインストールし、freeipa-client パッケージをインストールできましたが、インストール中に OTP を使用してホストをオンボードしようとすると、次のエラーが発生します。
DEBUG stderr=SASL Bind failed
Invalid credentials
2023-09-21T07:50:26Z ERROR Joining realm failed: SASL Bind failed
Invalid credentials
必要なバイナリを直接ダウンロードして rpm インストールしようとしましたが、このエラーが発生しました。
Traceback (most recent call last):
File "/usr/sbin/ipa-client-install", line 22, in <module>
from ipaclient.install import ipa_client_install
ImportError: cannot import name 'ipa_client_install' from 'ipaclient.install' (unknown location)
FreeIPA クライアントをインストールし、ホストを IPA ドメインに正常にオンボードできた人はいますか? FreeIPA エージェントなしで FreeIPA の HBAC/RBAC 機能を利用できる別の回避策をご存知ですか?
答え1
結局、ファイアウォールの問題でした。
パッケージをアンインストールし、デフォルトの yum リポジトリからインストールしました。対象の IPA サーバーでファイアウォールを無効にするか、適切に構成する必要があります (無効になっていても、再起動後に再度有効になりました)
また、新しいホストをオンボーディングするための OTP は、大文字と小文字、数字、特殊記号を含む強力なものである必要がありますが、12 文字で機能しました。