Máme 3 uživatele, Jhon, Doe, Mike. Předpokládejme, že jste v IT oddělení softwarové společnosti. Musíte spravovat identitu těchto 3 uživatelů. Snadné, že? Můžete snadno spravovat jejich přístup k identitě. Ale co takhle ze 3 uživatelů bude 300 nebo 3000? Jak je můžete spravovat?
Myslím, že věci jsou docela těžké. Co kdybychom mohli mít systém, který má centrální informace o identitě, možná by to bylo jednodušší vyřešit náš uvedený problém. Žádný strach, FreeIPA je tu, aby vám pomohla vyřešit problém.
V tomto článku se naučíme některé velmi základní informace o FreeIPA a projdeme si několik praktických cvičení!
Začněme.
IPA je zkratka pro Identity, Policy, and Audit. FreeIPA si klade za cíl poskytovat tyto 3 centrálně řízeným způsobem. Jedná se o integrované řešení správy bezpečnostních informací kombinující Linux (Fedora), 389 Directory Server, MIT Kerberos, NTP, DNS, Dogtag (Certificate System). Skládá se z webového rozhraní a nástrojů pro správu příkazového řádku.
Myslím, že jsem skončil se základním žargonem, pojďme se pustit do práce.
Požadavky
K instalaci a konfiguraci jsem potřeboval následující věci:
- Čerstvě nainstalovaný počítač Cantos 8
- 4 GB paměti RAM.
- 4jádrový procesor.
- 50 GB volného prostoru.
- 1 statická IP.
Než začnete
Instalace do stroje
Nainstaloval jsem počítač centos8 na virtuální krabici s IP 192.168.0.101 a uživatelskou IPA. Zbytek práce uděláme s uživatelským jménem IPA. Uživatel IPA má k počítači administrativní přístup. Nedoporučuje se, abychom pro účely instalace používali root.
Nastavte název hostitele
Nastavíme název hostitele jako ipamaster.unixcop.local. Samozřejmě si můžete nastavit své vlastní
hostnamectl set-hostname ipamaster.unixcop.localSELinux Permisivní
Musíme nastavit režim SELinux je Permisivní/Zakázán
Můžeme jej učinit trvalým nebo dočasným změnou konfigurace umístěné v /etc/selinux Adresář
Udělal jsem změnu trvalou, jak je uvedeno níže. Po provedení těchto změn musíte restartovat systém.
Vstup do souboru hosts
Musíme přidat IP a název hostitele do souboru /etc/hosts. V mém případě je IP adresa 192.168.0.101
Výstup souboru my hosts je následující
Ujistěte se, že tyto porty nepoužívá nikdo jiný!
- 80, 443, 8080:HTTP/HTTPS
- 389, 636:LDAP/LDAPS
- 88, 464:Kerberos
- 123:NTP
V případě, že nevíte, jak zkontrolovat otevřený/použitý port v systému Linux
Spuštěním následujícího příkazu ukážete, jak zkontrolovat naslouchající porty vašeho systému
netstat -tulpnInstalace a konfigurace
Aktualizace systému
Nejprve musíme aktualizovat náš systém, abychom se ujistili, že jsou aktualizovány všechny balíčky/software.
Spusťte příkaz sudo dnf update -y
Mějte prosím trpělivost! může to chvíli trvat (na novém počítači v závislosti na vašem internetovém připojení)
Nainstalujte požadované balíčky
Almalinux/Centos 8 přichází s funkcí Modularity Repository, která vám umožňuje instalovat další verze softwaru v nezávislých životních cyklech prostřednictvím Application Stream označovaného také jako AppStream. To vám umožní udržovat váš operační systém aktuální a zároveň mít správnou verzi aplikace, která vyhovuje vašemu případu použití.
FreeIPA Server a klientské balíčky jsou distribuovány prostřednictvím úložiště AppStream v Alma Linux/Centos 8. Chcete to zkusit? spusťte následující příkaz
sudo dnf module list idm
Z výstupu vidíme, že máme DL1 a klientské moduly
Další informace o modulu DL1 získáte spuštěním následujícího příkazu
sudo dnf module info idm:DL1
Zde získáte podrobné informace o modulu.
Protože zde instalujeme server, musíme nejprve nainstalovat modul DL1. DL1 také obsahuje ipa-klienta, protože master je klient sám o sobě.
Spusťte následující příkaz pro instalaci modulu
sudo dnf install @idm:DL1 -y
Pokud chcete nainstalovat freeIPA bez DNS, spusťte pouze následující
sudo dnf install freeipa-server --setup-dns
Pokud chcete zahrnout DNS, spusťte následující
sudo dnf install ipa-server-dns bind-dyndb-ldap
Počkejte, až se balíček stáhne a nainstaluje. V závislosti na vašem internetovém připojení to může nějakou dobu trvat.
Přidat do brány firewall
Potřebujeme do firewallu přidat následující služby
http.https, dns, ntp, freeipa-ldap, freeipa-ldaps
Příkaz:
sudo firewall-cmd --add-service={http,https,dns,ntp,freeipa-ldap,freeipa-ldaps} --permanent
Potom musíme znovu načíst firewall, aby se změny projevily.
sudo firewall-cmd --reload
Nainstalujte server freeIPA
Nainstalujeme server freeIPA včetně DNS
Pokračujte následujícím příkazem
sudo ipa-server-install --setup-dns
instalační práce provedou během instalace následující
* Nakonfigurujte samostatnou CA (dogtag) pro správu certifikátů
Poté nakonfigurujte klienta NTP (chronyd)
* Vytvořte a nakonfigurujte instanci Directory Server
*Vytvořte a nakonfigurujte Kerberos Key Distribution Center (KDC)
* Konfigurace Apache (httpd)
* Nakonfigurujte DNS (bind) a Nakonfigurujte KDC pro povolení PKINIT
- Požádá o název hostitele. Název hostitele jsme již nastavili dříve. Napište to znovu nebo stiskněte Enter, pokud jste líní jako já 😉
- Poté požádá o potvrzení názvu domény. V tomto případě by měl být název unixcop.local. Zadejte typ zásahu pro další krok.
- V dalším postupu najdete následující kroky:
(Sdílím, co jsem udělal s konvencí pojmenování. Vaše se může lišit)
Název REALM:UNIXCOP.LOCAL
- Heslo správce adresáře:(vyberte heslo o 8 znacích)
- Potvrďte heslo
- IPA má administrátora jménem „admin“. Musíme tomuto uživateli nastavit heslo a heslo potvrdit.
- Chceme nakonfigurovat tyto servery jako DNS Forwardery, stiskněte Enter pro další DNS servery, přidejte IP adresu, zatím to nepotřebujeme.
- Pak přidá reverzní zónu DNS a nakonfiguruje NTP. Kdykoli to chce nakonfigurovat chrony se servery NTP, musíme zadat Yes.
- Po dokončení všech těchto kroků se zobrazí výzva se shrnutím instalace. Ve výzvě musíme zadat Ano s nápisem Pokračovat v konfiguraci systému s těmito hodnotami.
- Potom IPA začne konfigurovat systém a získá následující výstup.
Po chvíli, po dokončení celého procesu instalace, získáme výstup následovně
Ověřte správce
Chcete-li použít příkaz ipa, musíte nejprve získat lístek Kerberos. Je to certifikát vydaný ověřovacím serverem, zašifrovaný pomocí klíče serveru.
Spusťte následující příkaz a získáte výstup takto
kinit admin
Podrobné informace můžeme zkontrolovat pomocí příkazu klist
klist
K ověření uživatele
lze také použít volbu user-find příkazu IPA
ipa user-find admin
Přístup ke GUI FreeIPA
Po všem hotovo, Nyní jsme připraveni přistupovat ke GUI
Otevřete svůj oblíbený prohlížeč a zadejte následující
https://ipamaster.unixcop.local/
Vstupní stránku najdete následovně
Přihlaste se na stránku pomocí „admin“ jako uživatelského jména a hesla, které jste zadali ve fázi instalace.
Úspěšné přihlášení se zobrazí na této stránce.
Přidat některá použití
Prvního uživatele Johna přidáme pomocí příkazu ipa user-add
Úplný příkaz bude vypadat takto. Jeho uživatelské jméno je uživatel1
ipa user-add user1 --first=john --last=doe [email protected] --shell=/bin/sh --password
Při prvním přihlášení bude uživatel1 nucen změnit heslo
A další věc, vypadá to, že jeho domovský adresář nebyl vytvořen. Používá domovský adresář uživatele našeho hlavního uzlu.
Tuto věc musíme změnit. Musíme se ujistit, že uživatel1 se dostane do svého vlastního domovského adresáře.
Pomocí příkazu authconfig aktualizujeme domovský adresář uživatele1
sudo authconfig --enablemkhomedir --update
Jistě, toto je vytvoření domovského adresáře uživatele1.
Odinstalovat
Pokud chcete odinstalovat freeIPA, stiskněte následující příkaz
sudo ipa-server-install --uninstall
No, to je prozatím vše. Pokud máte nějaké dotazy/dotazy/problémy, dejte mi prosím vědět v sekci komentářů. Pokud to považujete za užitečné, nezapomeňte to sdílet se svými přáteli!