FreeIPA je open-source systém správy identit pro prostředí Linux / Unix, který poskytuje centralizovanou správu účtů a ověřování, jako je Microsoft Active Directory nebo LDAP.
Zde v LinuxAPT, jako součást našich služeb správy serveru, pravidelně pomáháme našim zákazníkům provádět související dotazy na instalaci a konfiguraci softwaru s otevřeným zdrojovým kódem systému Linux.
V této souvislosti se podíváme na to, jak nainstalovat FreeIPA na CentOS 8.
Kroky k instalaci FreeIPA na CentOS 8
1. Nainstalujte EPEL a proveďte aktualizaci systému
Nejprve se ujistěte, že jste si nainstalovali úložiště EPEL a také udržovali svůj systém aktuální pomocí níže uvedených příkazů:
$ sudo dnf install epel-release
$ sudo dnf update
2. Nainstalujte FreeIPA do systému
Řekněme, že naše IP adresa je 192.168.77.5 a Hostanme je freeipa.linuxapt.com, nastavíme název hostitele, můžete jej nastavit pomocí následujícího příkazu:
$ hostnamectl set-hostname freeipa.linuxapt.com
echo "192.168.77.5 freeipa.linuxapt.local ipa" >> /etc/hosts
Balíčky FreeIPA poskytuje modul systému správy identit CentOS 8 AppStream repo.
Proto musíte povolit stream idm:DL1 spuštěním příkazu:
$ sudo dnf module enable idm:DL1
Dále synchronizujte úložiště pomocí následujícího příkazu:
$ sudo dnf distro-sync
Nakonec nainstalujte FreeIPA na systém CentOS 8 pomocí následujícího příkazu:
$ sudo dnf install ipa-server ipa-server-dns
Jak nakonfigurovat FreeIPA?
1. Nastavte FreeIPA server
Budete muset nastavit server FreeIPA. můžeme jej nastavit pomocí následujícího příkazu:
$ ipa-server-install --setup-dns
Takto bude tato konfigurace vypadat spuštěním předchozího příkazu:
[[email protected] ~]# ipa-server-install --setup-dns
The log file for this installation can be found in /var/log/ipaserver-install.log
==============================================================================
This program will set up the IPA Server.
This includes:
* Configure a stand-alone CA (dogtag) for certificate management
* Configure the Network Time Daemon (ntpd)
* Create and configure an instance of Directory Server
* Create and configure a Kerberos Key Distribution Center (KDC)
* Configure Apache (httpd)
* Configure DNS (bind)
To accept the default shown in brackets, press the Enter key.
Enter the fully qualified domain name of the computer
on which you're setting up server software. Using the form
<hostname>.<domainname>
Example: master.example.com.
Server host name [freeipa.linuxapt.com]: [ENTER]
Warning: skipping DNS resolution of host freeipa.linuxapt.local
The domain name has been determined based on the host name.
Please confirm the domain name [linuxapt.com]:[ENTER]
The kerberos protocol requires a Realm name to be defined.
This is typically the domain name converted to uppercase.
Please provide a realm name [LINUXAPT.COM]: [ENTER]
Certain directory server operations require an administrative user.
This user is referred to as the Directory Manager and has full access
to the Directory for system management tasks and will be added to the
instance of directory server created for IPA.
The password must be at least 8 characters long.
Directory Manager password: [ENTER PASSWORD]
Password (confirm): [ENTER PASSWORD]
. . . . .
Po instalaci FreeIPA se ověřte v oblasti Kerberos, abyste se ujistili, že je administrátor správně nakonfigurován:
$ kinit admin
Kerberos lístky můžete také vypsat pomocí příkazu klist:
$ klist
2. Nakonfigurujte bránu firewall pro FreeIPA
Budete muset povolit některé porty používané FreeIPA. Můžete je povolit pomocí následujícího příkazu:
$ sudo firewall-cmd --add-service={http,https,dns,ntp,freeipa-ldap,freeipa-ldaps} --permanent $ sudo firewall-cmd --reload
Dále budete také muset zakázat SELinux ve vašem systému:
$ sudo setenforce 0
$ sudo sed -i 's/^SELINUX=.*/SELINUX=permissive/g' /etc/selinux/config
Jak získat přístup k webovému rozhraní FreeIPA?
FreeIPA bude ve výchozím nastavení k dispozici na portu HTTP 80.
Začněte pomocí níže uvedeného příkazu ke kontrole, zda všechny služby FreeIPA běží nebo ne:
[root@ipa ~]# ipactl status
Poté otevřete svůj oblíbený prohlížeč a přejděte na https://freeipa.linuxapt.com/ a dokončete požadované kroky k dokončení instalace.
Ignorujte soukromé varování SSL a přejděte na přihlašovací stránku serveru FreeIPA.
Použijte uživatelské jméno, správce a heslo správce poskytnuté během instalace.