FreeIPA ist ein Open-Source-Identitätsverwaltungssystem für Linux-/Unix-Umgebungen, das zentralisierte Kontoverwaltung und Authentifizierung bietet, wie Microsoft Active Directory oder LDAP.
Hier bei LinuxAPT helfen wir unseren Kunden im Rahmen unserer Serververwaltungsdienste regelmäßig bei der Durchführung verwandter Linux-System-Open-Source-Software-Installations- und Konfigurationsabfragen.
In diesem Zusammenhang werden wir untersuchen, wie FreeIPA auf CentOS 8 installiert wird.
Schritte zur Installation von FreeIPA auf CentOS 8
1. EPEL installieren und Systemaktualisierung durchführen
Stellen Sie zunächst sicher, dass Sie das EPEL-Repository installieren und Ihr System mit den folgenden Befehlen auf dem neuesten Stand halten:
$ sudo dnf install epel-release
$ sudo dnf update
2. Installieren Sie FreeIPA auf dem System
Nehmen wir an, unsere IP-Adresse ist 192.168.77.5 und Hostanme ist freeipa.linuxapt.com, wir richten den Hostnamen ein, Sie können ihn mit dem folgenden Befehl einrichten:
$ hostnamectl set-hostname freeipa.linuxapt.com
echo "192.168.77.5 freeipa.linuxapt.local ipa" >> /etc/hosts
FreeIPA-Pakete werden vom Identity Management-Systemmodul von CentOS 8 AppStream-Repositorys bereitgestellt.
Daher müssen Sie den idm:DL1-Stream aktivieren, indem Sie den folgenden Befehl ausführen:
$ sudo dnf module enable idm:DL1
Als nächstes synchronisieren Sie das Repository mit dem folgenden Befehl:
$ sudo dnf distro-sync
Installieren Sie schließlich FreeIPA auf dem CentOS 8-System mit dem folgenden Befehl:
$ sudo dnf install ipa-server ipa-server-dns
Wie konfiguriere ich FreeIPA?
1. FreeIPA-Server einrichten
Sie müssen den FreeIPA-Server einrichten. Wir können es mit dem folgenden Befehl einrichten:
$ ipa-server-install --setup-dns
So sieht diese Konfiguration aus, wenn Sie den vorherigen Befehl ausführen:
[[email protected] ~]# ipa-server-install --setup-dns
The log file for this installation can be found in /var/log/ipaserver-install.log
==============================================================================
This program will set up the IPA Server.
This includes:
* Configure a stand-alone CA (dogtag) for certificate management
* Configure the Network Time Daemon (ntpd)
* Create and configure an instance of Directory Server
* Create and configure a Kerberos Key Distribution Center (KDC)
* Configure Apache (httpd)
* Configure DNS (bind)
To accept the default shown in brackets, press the Enter key.
Enter the fully qualified domain name of the computer
on which you're setting up server software. Using the form
<hostname>.<domainname>
Example: master.example.com.
Server host name [freeipa.linuxapt.com]: [ENTER]
Warning: skipping DNS resolution of host freeipa.linuxapt.local
The domain name has been determined based on the host name.
Please confirm the domain name [linuxapt.com]:[ENTER]
The kerberos protocol requires a Realm name to be defined.
This is typically the domain name converted to uppercase.
Please provide a realm name [LINUXAPT.COM]: [ENTER]
Certain directory server operations require an administrative user.
This user is referred to as the Directory Manager and has full access
to the Directory for system management tasks and will be added to the
instance of directory server created for IPA.
The password must be at least 8 characters long.
Directory Manager password: [ENTER PASSWORD]
Password (confirm): [ENTER PASSWORD]
. . . . .
Authentifizieren Sie sich nach der FreeIPA-Installation beim Kerberos-Realm, um sicherzustellen, dass der Administrator richtig konfiguriert ist:
$ kinit admin
Sie können Kerberos-Tickets auch mit dem klist-Befehl auflisten:
$ klist
2. Konfigurieren Sie die Firewall für FreeIPA
Sie müssen einige von FreeIPA verwendete Ports zulassen. Sie können sie mit dem folgenden Befehl zulassen:
$ sudo firewall-cmd --add-service={http,https,dns,ntp,freeipa-ldap,freeipa-ldaps} --permanent $ sudo firewall-cmd --reload
Als nächstes müssen Sie auch SELinux in Ihrem System deaktivieren:
$ sudo setenforce 0
$ sudo sed -i 's/^SELINUX=.*/SELINUX=permissive/g' /etc/selinux/config
Wie greife ich auf die FreeIPA-Weboberfläche zu?
FreeIPA ist standardmäßig auf HTTP-Port 80 verfügbar.
Beginnen Sie mit dem Verwenden des folgenden Befehls, um zu überprüfen, ob alle Dienste von FreeIPA ausgeführt werden oder nicht:
[root@ipa ~]# ipactl status
Öffnen Sie dann Ihren bevorzugten Browser und navigieren Sie zu https://freeipa.linuxapt.com/ und führen Sie die erforderlichen Schritte aus, um die Installation abzuschließen.
Ignorieren Sie die private SSL-Warnung und fahren Sie mit der Anmeldeseite des FreeIPA-Servers fort.
Verwenden Sie den Benutzernamen, den Admin und das Admin-Passwort, die Sie während des Installations-Setups erhalten haben.