FreeIPA je bezplatný a open source nástroj pro správu identit, je to upstream projekt pro správce identit Red Hat. Pomocí nástroje FreeIPA můžeme snadno spravovat centralizované ověřování spolu se správou účtu, politikou (řízení přístupu na základě hostitele) a auditem. FreeIPA také poskytuje služby jako DNS a PKI .
FreeIPA je založena na následujících Open Source projektech,
- 389 Directory Server (LDAP)
- MIT Kerberos
- SSSD
- Dogtag (systém certifikátů)
- NTP a DNS
V tomto článku si ukážeme, jak nainstalovat a nakonfigurovat nástroj FreeIPA na CentOS 7 Server. Níže jsou uvedeny podrobnosti o mém testovacím Lab Serveru (CentOS7),
- Adresa IP =192.168.0.102
- Hostanme =ipa.linuxtechi.lan
- RAM =2 GB
- CPU =2 vCPU
- Disk =12 GB volného místa na /
- Připojení k internetu
Krok:1 Nastavte statický název hostitele a použijte aktualizace
Nastavte statický název hostitele vašeho serveru pomocí příkazu hostnamectl
[[email protected] ~]# hostnamectl set-hostname "ipa.linuxtechi.lan" [[email protected] ~]# exec bash [[email protected] ~]#
Aktualizujte server pomocí příkazu yum update a poté jej restartujte
[[email protected] ~]# yum update -y;reboot
Krok:2 Aktualizujte soubor hostitelů (/etc/hosts)
Spusťte níže uvedený příkaz echo pro aktualizaci souboru /etc/hosts, nahraďte IP adresu a název hostitele podle vašeho nastavení.
[[email protected] ~]# echo -e "192.168.0.102\tipa.linuxtechi.lan\t ip" >> /etc/hosts [[email protected] ~]#
Krok:3 Nainstalujte balíčky FreeIPA pomocí příkazu yum
Balíčky FreeIPA a jejich závislosti jsou dostupné ve výchozích úložištích balíčků. Jelikož plánujeme instalaci integrovaného DNS FreeIPA, nainstalujeme také „ipa-server-dns ”
Spusťte níže uvedený příkaz a nainstalujte FreeIPA a jeho závislosti
[[email protected] ~]# yum install ipa-server ipa-server-dns -y
Krok:4 Spusťte nastavení instalace FreeIPA pomocí „ipa-server-install“
Jakmile jsou balíčky úspěšně nainstalovány, použijte níže uvedený příkaz ke spuštění instalačního nastavení freeipa,
Vyzve vás k několika věcem, jako je konfigurace integrovaného DNS, názvu hostitele, názvu domény a názvu sféry
[[email protected] ~]# ipa-server-install
Výstup výše uvedeného příkazu by byl něco jako níže
Po stisknutí tlačítka ano ve výše uvedeném okně bude nějakou dobu trvat, než nakonfigurujete váš server FreeIPA, a jakmile bude úspěšně nastaven, dostaneme výstup podobný níže,
Výše uvedený výstup potvrzuje, že byl úspěšně nainstalován.
Spuštěním níže uvedeného příkazu umožníte vytvoření domovského adresáře uživatele automaticky po ověření (nebo přihlášení)
[[email protected] ~]# authconfig --enablemkhomedir --update [[email protected] ~]#
Poznámka: V případě, že se při instalaci FreeIPA na server CentOS 7 zobrazí níže uvedené chyby,
............. [error] CalledProcessError: Command '/bin/systemctl start certmonger.service' returned non-zero exit status 1 ipa.ipapython.install.cli.install_tool(CompatServerMasterInstall): ERROR Command '/bin/systemctl start certmonger.service' returned non-zero exit status 1 ipa.ipapython.install.cli.install_tool(CompatServerMasterInstall): ERROR The ipa-server-install command failed. See /var/log/ipaserver-install.log for more information .................
Zdá se, že jde o známý problém na CentOS 7, takže k vyřešení tohoto problému restartujeme službu dbus (restart služby dbus) a odinstalujeme freeipa pomocí příkazu „ipa-server-install –uninstall“ a poté se pokusíme znovu nainstalovat.
Krok:5 Povolení portů FreeIPA v bráně OS Firewall
V případě, že na vašem serveru centos 7 běží OS firewall, spusťte níže uvedené příkazy firewall-cmd pro povolení nebo otevření portů pro FreeIPA,
[[email protected] ~]# firewall-cmd --add-service=freeipa-ldap success [[email protected] ~]# firewall-cmd --add-service=freeipa-ldap --permanent success [[email protected] ~]# firewall-cmd --reload success [[email protected] ~]#
Krok:6 Ověření a přístup k portálu pro správu FreeIPA
Pomocí níže uvedeného příkazu zkontrolujte, zda všechny služby FreeIPA běží nebo ne
[[email protected] ~]# ipactl status Directory Service: RUNNING krb5kdc Service: RUNNING kadmin Service: RUNNING named Service: RUNNING httpd Service: RUNNING ipa-custodia Service: RUNNING ntpd Service: RUNNING pki-tomcatd Service: RUNNING ipa-otpd Service: RUNNING ipa-dnskeysyncd Service: RUNNING ipa: INFO: The ipactl command was successful [[email protected] ~]#
Ověřte, zda uživatel admin získá token přes Kerberos pomocí příkazu kinit, použijte stejné heslo uživatele admin, které jsme poskytli při instalaci FreeIPA.
[[email protected] ~]# kinit admin Password for [email protected]: [[email protected] ~]# klist Ticket cache: KEYRING:persistent:0:0 Default principal: [email protected].LAN Valid starting Expires Service principal 11/26/2018 07:39:00 11/27/2018 07:38:55 krbtgt/[email protected] [[email protected] ~]#
Vstupte na portál pro správu FreeIPA pomocí adresy URL:
https://ipa.linuxtechi.lan/ipa/ui
Použijte uživatelské jméno jako admin a heslo, které zadáme během instalace.
Klikněte na Přihlásit
To potvrzuje, že jsme úspěšně nastavili FreeIPA na CentOS 7 Server. To také uzavírá článek, podělte se prosím o své názory a komentáře.
Přečtěte si více na:Jak nakonfigurovat klienta FreeIPA na Ubuntu 18.04 / CentOS 7 pro centralizaci ověřování