Ein Tutorial zum Erlernen der Schritte und Befehle zum Installieren von FreeIPA auf CentOS 8-, AlmaLinux- oder Rocky Linux 8 Server-Distributionen, um ein zentralisiertes Authentifizierungs-, Autorisierungs- und Kontoinformationssystem zu erhalten.
FreeIPA steht für Free Identity, Policy, Audit und ist eine Open-Source-Identitätsmanagementlösung, die auf einem LDAP-Verzeichnis und Kerberos mit optionalen Komponenten wie DNS-Server, Zertifizierungsstelle und mehr basiert. Es kann eine Domäne mit Benutzern, Computern, Richtlinien und Vertrauensstellungen verwalten. Klingt es nicht wie Microsoft Active Directory? Ja, genau darum geht es. FreeIPA kann auch eine Wald-zu-Wald-Vertrauensstellung mit bestehenden Active Directory-Wäldern einrichten und sogar in einer DNS-Zone unterhalb einer von Active Directory verwalteten Zone leben, solange sie sich nicht überschneiden. Es besteht aus einer Webschnittstelle und Befehlszeilen-Verwaltungstools.
Anforderungen:
- Der Hostname muss vollständig qualifiziert sein und kann aufgelöst werden. Hier verwenden wir eine Subdomain, z. B. demo.how2shout.com
- Mindestens 1 GB RAM und 10 GB freier Speicherplatz
Schritte zur Installation von FreeIPA auf AlmaLinux oder Rocky Linux 8
Die unten angegebenen Befehle können auch auf CentOS 8, Oracle Linux, VzLinux und anderen RPM-basierten Betriebssystemen verwendet werden.
1. Setzen Sie den Hostnamen in AlmaLinux oder Rocky
Da wir einen vollständig qualifizierten Domänennamen benötigen, um auf FreeIPA ordnungsgemäß zuzugreifen und es zu verwenden, müssen wir den FQDN-Hostnamen festlegen, den wir verwenden möchten. Hier verwenden wir zum Beispiel demo.how2shout.com, das mit unserem DNS-Server aufgelöst werden kann. Wenn Sie jedoch keinen DNS-Server haben, müssen wir manuell Einträge in der Hostdatei des Almalinux-Servers hinzufügen, um die System-IP-Adresse für unseren vollständig qualifizierten Hostnamen aufzulösen.
sudo hostnamectl set-hostname demo.example.com
Ersetzen Sie demo.example.com mit dem, den Sie für den Hostnamen Ihres Servers festlegen möchten.
Die für den Hostnamen verwendete Domäne muss die IP-Adresse auflösen, um den Server zu erreichen. Verweisen Sie als Nächstes Ihre Server-IP-Adresse auf den Hostnamen, d. h. den vollständig qualifizierten Domänennamen, in der Host-Datei.
echo "192.168.0.110 demo.example.com demo" | sudo tee -a /etc/hosts
Ersetzen – 192.168.0.110 mit Ihrer Server-IP-Adresse und demo.example.com mit Ihrem FQDN-Hostnamen.
Hinweis :Wenn Sie FreeIPA lokal testen möchten , dann wird empfohlen, reservierte TLDs wie .local zu verwenden. .test oder sogar .home können verwendet werden - Beispiel :demo.IPA.local
Bestätigen Sie anschließend, dass das System den Host anpingen kann, um dasselbe Problem zu lösen.
ping -c 2 demo.example.com
Starten Sie jetzt neu:
sudo reboot
2. Systemaktualisierung ausführen
Bevor wir fortfahren, führen wir den Systemaktualisierungsbefehl einmal aus, um sicherzustellen, dass alle Systempakete auf dem neuesten Stand sind, und dies wird auch den Repo-Cache des Systems neu erstellen.
sudo dnf update
3. Systemmodul Red Hat Enterprise Linux Identity Management aktivieren
FreeIPA-Server- und -Client-Pakete sind über das standardmäßige App-Stream-Repository verfügbar. Um sie jedoch zu erhalten, müssen wir zuerst das IDM – Identity Management-Systemmodul auf unserem von uns verwendeten AlmaLinux oder Rocky Linux aktivieren.
sudo dnf install @idm:DL1
4. Installieren Sie FreeIPA auf AlmaLinux oder Rocky Linux 8
Sobald das IDM-Modul auf Ihrem Serversystem aktiviert wurde, ist es an der Zeit, alle erforderlichen Pakete für FreeIPA auf unserem System zu installieren.
sudo dnf install ipa-server
Wenn Sie auch den FreeIPA-DNS-Server installieren möchten, führen Sie auch den folgenden Befehl aus:
sudo dnf install ipa-server-dns bind-dyndb-ldap
5. FreeIPA-Server einrichten
Bisher haben wir alle wichtigen Dinge heruntergeladen und installiert, die wir zum Einrichten des FreeIPA-Servers auf AlmaLinux oder Rocky benötigt haben, also fangen wir damit an.
sudo ipa-server-install
Der obige Befehl startet den textbasierten Assistenten. Es wird Ihnen einige allgemeine Fragen stellen. Die ersten werden die Integration von BIND DNS sein, standardmäßig wird es auf „NO“ gesetzt ‘. Drücken Sie daher einfach die Enter-Taste ohne weitermachen. Wenn Sie jedoch einen BIND-DNS auf Ihrem Alma oder Rocky einrichten möchten, um Domänennamen aufzulösen, geben Sie ja ein und drücken Sie die Eingabetaste.
Danach erkennt das Skript automatisch den Server-Hostnamen und die Domain, die Sie für den Hostnamen festgelegt haben
Drücken Sie daher einfach die Enter-Taste Taste für beide Optionen.
Nachdem Sie die obigen Einträge eingerichtet haben, werden Sie vom Setup aufgefordert, einen Verzeichnismanager einzurichten Passwort und IPA Admin-Passwort für die Weboberfläche. Als nächstes werden Sie aufgefordert, den NTP-Server so zu konfigurieren, dass die Standardeinstellung chronisch akzeptiert wird (nein ) oder geben Sie Ja ein nach Ihrer Wahl.
Denken Sie daran, wenn Sie aufgefordert werden, das System mit diesen Werten weiter zu konfigurieren , geben Sie – Ja ein und drücken Sie die Enter Schlüssel.
6. Linux-Firewalld konfigurieren
Wenn Sie Ihren Server mit einem Cloud-Dienst verwenden, verwenden Sie dessen Firewall, um die folgenden Ports auf die Whitelist zu setzen:
Sie müssen sicherstellen, dass diese Netzwerkports geöffnet sind:
TCP-Ports:
80, 443:HTTP/HTTPS
389, 636:LDAP/LDAPS
88, 464:Kerberos
UDP-Ports:
88, 464:Kerberos
123:NTP
Wenn Sie hingegen Firewalld in Ihrem Serversystem verwenden, führen Sie einfach die folgenden beiden Befehle aus:
sudo firewall-cmd --add-service={http,https,dns,ntp,freeipa-ldap,freeipa-ldaps} --permanent
sudo firewall-cmd --reload
7. Greifen Sie auf die FreeIPA-GUI-Weboberfläche zu
Sobald die Installation durch das Skript abgeschlossen ist, öffnen Sie Ihren Systembrowser und verweisen Sie ihn auf den FQDN-Hostnamen, den Sie für das System am Anfang festgelegt haben, z. B. https://demo.example.com oder sogar wenn Sie https://your-server-ip eingeben Dadurch wird es automatisch zum FQDN umgeleitet.
8. Einloggen
Der Standardbenutzername für die Anmeldung bei FreeIPA ist admin wobei das Passwort dasselbe ist, das Sie bei der Installation des FreeIPA-Servers in Schritt 5 festgelegt haben dieses Artikels.
FreeIPA-Befehlszeile
Diejenigen, die die FreeIPA-Web-GUI-Oberfläche nicht verwenden möchten, können die Befehlszeile verwenden, um verschiedene Vorgänge auszuführen, wie z. B. das Erstellen von Benutzern, das Testen der SSH-Anmeldung für Benutzer und mehr …
Um CLI zu verwenden, geben Sie- ein
sudo kinit admin
Zuerst Eingabe das Systembenutzerpasswort und dann das Passwort, das Sie während der Installation für FreeIPA festgelegt haben.
Sobald Sie sich angemeldet haben, können Sie mit der Verwendung von ipa beginnen Befehle. Alle Details zu den Befehlsoptionen finden Sie auf der Manpage:
man ipa
zum Beispiel, um einen Benutzer zu erstellen-
sudo ipa user-add testuser --first=Test --last=User --email=testuser@example.com --password
Sobald der Benutzer hinzugefügt wurde, können Sie ihn authentifizieren mit:
Sie können sich jetzt als neuer Benutzer mit
authentifizierenkinit <user>
Benutzerkonten auflisten
sudo ipa user-find
So melden Sie sich mit einem erstellten Benutzer an:
ssh [email protected]
Weitere Informationen finden Sie in der offiziellen Dokumentation .
FreeIPA-Deinstallation von AlmaLinux oder Rocky
Falls Sie ein Problem mit dem Open-Source-Identitätsverwaltungssystem haben oder es nicht mehr benötigen, verwenden Sie den folgenden Befehl, um FreeIPA von CentOS, AlmaLinux, Rocky oder einem anderen ähnlichen Linux-System, das Sie verwenden, zu entfernen.
sudo ipa-server-install --uninstall
Andere Artikel:
- Installieren Sie Dig auf AlmaLinux 8 / Rocky Linux
- So ändern Sie den Computernamen in Ubuntu 20.04 Linux
- So installieren Sie Pi-hole auf Docker – Netzwerkweite Werbeblockierung