Výukový program, ve kterém se naučíte kroky a příkazy k instalaci FreeIPA na serverové distribuce CentOS 8, AlmaLinux nebo Rocky Linux 8, abyste získali centralizovaný systém ověřování, autorizace a informací o účtu.
FreeIPA je zkratka pro Free Identity, Policy, Audit a je to open-source řešení správy identit založené na adresáři LDAP a Kerberos s volitelnými komponentami, jako je DNS server, certifikační autorita a další. Může spravovat doménu s uživateli, počítači, zásadami a vztahy důvěryhodnosti. Nezní to jako Microsoft Active Directory? Ano, přesně o tom to celé je. FreeIPA může také nastavit důvěryhodnost doménových struktur s existujícími doménovými strukturami Active Directory a dokonce žít v zóně DNS pod zónou spravovanou službou Active Directory, pokud se nepřekrývají. Skládá se z webového rozhraní a nástrojů pro správu příkazového řádku.
Požadavky:
- název hostitele musí být plně kvalifikovaný a lze jej vyřešit. Zde používáme subdoménu, tj. demo.how2shout.com
- Alespoň 1 GB paměti RAM a 10 GB volného disku
Kroky k instalaci FreeIPA na AlmaLinux nebo Rocky Linux 8
Níže uvedené příkazy lze také použít na CentOS 8, Oracle Linux, VzLinux a dalších operačních systémech založených na RPM.
1. Nastavte název hostitele v AlmaLinux nebo Rocky
Protože potřebujeme mít plně kvalifikovaný název domény pro správný přístup a používání FreeIPA, musíme nastavit název hostitele FQDN, který chceme používat. Například zde používáme demo.how2shout.com, který lze vyřešit pomocí našeho serveru DNS. Pokud však nemáte server DNS, musíme ručně přidat položky do hostitelského souboru serveru Almalinux, abychom zjistili systémovou IP adresu pro náš plně kvalifikovaný název hostitele.
sudo hostnamectl set-hostname demo.example.com
Nahraďte demo.example.com s tou, kterou chcete nastavit pro název hostitele vašeho serveru.
Doména použitá pro název hostitele musí vyřešit adresu IP, aby se dostala na server. Dále nasměrujte IP adresu svého serveru na název hostitele, tj. plně kvalifikovaný název domény, v souboru Host.
echo "192.168.0.110 demo.example.com demo" | sudo tee -a /etc/hosts
Nahradit – 192.168.0.110 s IP adresou vašeho serveru a demo.example.com s vaším názvem hostitele FQDN.
Poznámka :Pokud chcete testovat FreeIPA lokálně , pak se doporučuje použít vyhrazenou TLD, jako je .local. Lze použít .test nebo dokonce .home – příklad :demo.IPA.local
Až budete hotovi, potvrďte, že systém dokáže ping na hostitele vyřešit to samé.
ping -c 2 demo.example.com
Nyní restartujte:
sudo reboot
2. Spusťte aktualizaci systému
Než se přesuneme dále, spusťte jednou příkaz aktualizace systému, abyste se ujistili, že všechny systémové balíčky jsou aktuální, a také se tím znovu sestaví mezipaměť úložiště systému.
sudo dnf update
3. Povolit modul systému Red Hat Enterprise Linux Identity Management
Balíčky FreeIPA Server a klientské balíčky jsou dostupné prostřednictvím výchozího úložiště App stream, ale abychom je získali, musíme nejprve povolit modul systému IDM – Identity Management na našem AlmaLinux nebo Rocky Linuxu, který používáme.
sudo dnf install @idm:DL1
4. Nainstalujte FreeIPA na AlmaLinux nebo Rocky Linux 8
Jakmile je modul IDM povolen na vašem serverovém systému, je čas nainstalovat všechny požadované balíčky pro FreeIPA do našeho systému.
sudo dnf install ipa-server
Pokud chcete nainstalovat i DNS server FreeIPA, spusťte také následující příkaz:
sudo dnf install ipa-server-dns bind-dyndb-ldap
5. Nastavte FreeIPA Server
Zatím jsme si stáhli a nainstalovali všechny klíčové věci, které jsme potřebovali k nastavení serveru FreeIPA na AlmaLinux nebo Rocky, takže začněme s tím.
sudo ipa-server-install
Výše uvedený příkaz spustí textového průvodce. Zeptá se vás na některé běžné otázky. Prvotní bude integrace BIND DNS, ve výchozím nastavení bude nastaveno na ‘NE ‘. Stačí tedy stisknout Enter pokračovat bez něj. Pokud však chcete na svém zařízení Alma nebo Rocky nastavit BIND DNS pro překlad názvů domén, zadejte-ano a stiskněte klávesu Enter.
Poté skript automaticky zjistí název hostitele serveru a doménu, kterou jste pro název hostitele nastavili
Stačí tedy stisknout Enter klíč pro obě možnosti.
Po nastavení výše uvedených položek vás instalační program požádá o nastavení správce adresářů heslo a IPA admin heslo pro webové rozhraní. Dále se vás zeptá na konfiguraci serveru NTP s chronickým přijetím výchozího nastavení (ne ) nebo zadejte ano podle vašeho výběru.
Pamatujte, že když se vás zobrazí výzva k pokračování v konfiguraci systému, tyto hodnoty , zadejte – ano a stiskněte Enter klíč.
6. Nakonfigurujte Linux Firewalld
Pokud používáte svůj server na nějaké cloudové službě, použijte jeho bránu firewall k seznamu povolených následujících portů:
Musíte se ujistit, že jsou tyto síťové porty otevřené:
Porty TCP:
80, 443:HTTP/HTTPS
389, 636:LDAP/LDAPS
88, 464:Kerberos
Porty UDP:
88, 464:Kerberos
123:NTP
Pokud používáte Firewalld ve svém serverovém systému, pak jednoduše spusťte následující dva příkazy:
sudo firewall-cmd --add-service={http,https,dns,ntp,freeipa-ldap,freeipa-ldaps} --permanent
sudo firewall-cmd --reload
7. Přístup k webovému rozhraní GUI FreeIPA
Po dokončení instalace pomocí skriptu otevřete svůj systémový prohlížeč a nasměrujte jej na název hostitele FQDN, který jste pro systém nastavili na začátku, např. https://demo.example.com nebo dokonce pokud zadáte https://your-server-ip toto jej automaticky přesměruje na FQDN.
8. Přihlášení
Výchozí uživatelské jméno pro přihlášení do FreeIPA je admin zatímco heslo je stejné, jaké jste pro něj nastavili při instalaci serveru FreeIPA v kroku 5 tohoto článku.
Příkazový řádek FreeIPA
Ti, kteří nechtějí používat webové rozhraní GUI FreeIPA, mohou na příkazovém řádku provádět různé operace, jako je vytváření uživatelů, testování přihlášení uživatelů SSH a další…
Chcete-li začít používat CLI, zadejte-
sudo kinit admin
Nejprve Zadejte systémové uživatelské heslo a poté heslo, které jste nastavili pro FreeIPA při jeho instalaci.
Jakmile se přihlásíte, můžete začít používat ipa příkazy. Chcete-li získat všechny podrobnosti o možnostech příkazů, podívejte se na stránku manuál:
man ipa
například pro vytvoření uživatele-
sudo ipa user-add testuser --first=Test --last=User --email=testuser@example.com --password
Jakmile je uživatel přidán, můžete jej ověřit pomocí:
Nyní se můžete ověřit jako nový uživatel pomocí
kinit <user>
Seznam uživatelských účtů
sudo ipa user-find
Chcete-li se přihlásit pomocí vytvořeného uživatele:
ssh [email protected]
Další informace naleznete v oficiální dokumentaci .
Odinstalace FreeIPA z AlmaLinuxu nebo rocky
V případě, že se potýkáte s nějakým problémem se systémem správy identit s otevřeným zdrojovým kódem nebo jej již nepotřebujete, použijte níže uvedený příkaz k odebrání FreeIPA z CentOS, AlmaLinux, Rocky nebo jakéhokoli jiného podobného systému Linux, který používáte.
sudo ipa-server-install --uninstall
Další články:
- Nainstalujte Dig na AlmaLinux 8 / Rocky Linux
- Jak změnit název počítače v Ubuntu 20.04 Linux
- Jak nainstalovat Pi-hole na Docker – celosíťové blokování reklam