FreeIPA ist ein kostenloses und quelloffenes Identitätsmanagement-Tool, es ist das Upstream-Projekt für Red Hat Identity Manager. Mit dem FreeIPA-Tool können wir die zentralisierte Authentifizierung ganz einfach verwalten zusammen mit Kontoverwaltung, Richtlinien (hostbasierte Zugriffskontrolle) und Audit. FreeIPA bietet auch Dienste wie DNS und PKI .
FreeIPA basiert auf den folgenden Open-Source-Projekten
- 389-Verzeichnisserver (LDAP)
- MIT Kerberos
- SSSD
- Dogtag (Zertifikatssystem)
- NTP &DNS
In diesem Artikel zeigen wir, wie Sie das FreeIPA-Tool auf CentOS 7 Server installieren und konfigurieren. Im Folgenden sind die Details meines Testlaborservers (CentOS7) aufgeführt,
- IP-Adresse =192.168.0.102
- Hostanme =ipa.linuxtechi.lan
- RAM =2 GB
- CPU =2 vCPU
- Festplatte =12 GB freier Speicherplatz auf /
- Internetverbindung
Schritt:1 Statischen Hostnamen festlegen und Updates anwenden
Legen Sie den statischen Hostnamen Ihres Servers mit dem Befehl hostnamectl fest,
[[email protected] ~]# hostnamectl set-hostname "ipa.linuxtechi.lan" [[email protected] ~]# exec bash [[email protected] ~]#
Aktualisieren Sie den Server mit dem Befehl yum update und starten Sie ihn dann neu
[[email protected] ~]# yum update -y;reboot
Schritt:2 Aktualisieren Sie die Hosts-Datei (/etc/hosts)
Führen Sie den folgenden Echo-Befehl aus, um die Datei /etc/hosts zu aktualisieren, und ersetzen Sie die IP-Adresse und den Hostnamen gemäß Ihrer Einrichtung.
[[email protected] ~]# echo -e "192.168.0.102\tipa.linuxtechi.lan\t ip" >> /etc/hosts [[email protected] ~]#
Schritt:3 FreeIPA-Pakete mit dem Befehl yum installieren
FreeIPA-Pakete und ihre Abhängigkeiten sind in den Standardpaket-Repositories verfügbar. Da wir planen, das integrierte DNS von FreeIPA zu installieren, werden wir auch „ipa-server-dns installieren ”
Führen Sie den folgenden Befehl aus, um FreeIPA und seine Abhängigkeiten zu installieren
[[email protected] ~]# yum install ipa-server ipa-server-dns -y
Schritt:4 Starten Sie die Einrichtung der FreeIPA-Installation mit „ipa-server-install“
Sobald die Pakete erfolgreich installiert sind, verwenden Sie den folgenden Befehl, um das Freeipa-Installations-Setup zu starten,
Es wird Sie zu einigen Dingen auffordern, z. B. zum Konfigurieren des integrierten DNS, des Hostnamens, des Domänennamens und des Bereichsnamens
[[email protected] ~]# ipa-server-install
Die Ausgabe des obigen Befehls würde in etwa so aussehen
Nachdem Sie im obigen Fenster auf Ja geklickt haben, dauert es einige Zeit, Ihren FreeIPA-Server zu konfigurieren, und sobald er erfolgreich eingerichtet wurde, erhalten wir eine Ausgabe wie unten,
Die obige Ausgabe bestätigt, dass sie erfolgreich installiert wurde.
Führen Sie den folgenden Befehl aus, um die automatische Erstellung des Home-Verzeichnisses des Benutzers nach der Authentifizierung (oder Anmeldung) zuzulassen
[[email protected] ~]# authconfig --enablemkhomedir --update [[email protected] ~]#
Hinweis: Falls Sie bei der Installation von FreeIPA auf einem CentOS 7-Server die folgenden Fehler erhalten,
............. [error] CalledProcessError: Command '/bin/systemctl start certmonger.service' returned non-zero exit status 1 ipa.ipapython.install.cli.install_tool(CompatServerMasterInstall): ERROR Command '/bin/systemctl start certmonger.service' returned non-zero exit status 1 ipa.ipapython.install.cli.install_tool(CompatServerMasterInstall): ERROR The ipa-server-install command failed. See /var/log/ipaserver-install.log for more information .................
Dies scheint ein bekanntes Problem unter CentOS 7 zu sein. Um dies zu beheben, haben wir den dbus-Dienst neu gestartet (service dbus restart) und freeipa mit dem Befehl „ipa-server-install –uninstall“ deinstalliert und dann erneut versucht zu installieren.
Schritt:5 FreeIPA-Ports in der Betriebssystem-Firewall zulassen
Falls die OS-Firewall auf Ihrem Centos 7-Server ausgeführt wird, führen Sie die folgenden Firewall-cmd-Befehle aus, um Ports für FreeIPA zuzulassen oder zu öffnen,
[[email protected] ~]# firewall-cmd --add-service=freeipa-ldap success [[email protected] ~]# firewall-cmd --add-service=freeipa-ldap --permanent success [[email protected] ~]# firewall-cmd --reload success [[email protected] ~]#
Schritt:6 Überprüfung und Zugriff auf das FreeIPA-Verwaltungsportal
Verwenden Sie den folgenden Befehl, um zu überprüfen, ob alle Dienste von FreeIPA ausgeführt werden oder nicht
[[email protected] ~]# ipactl status Directory Service: RUNNING krb5kdc Service: RUNNING kadmin Service: RUNNING named Service: RUNNING httpd Service: RUNNING ipa-custodia Service: RUNNING ntpd Service: RUNNING pki-tomcatd Service: RUNNING ipa-otpd Service: RUNNING ipa-dnskeysyncd Service: RUNNING ipa: INFO: The ipactl command was successful [[email protected] ~]#
Lassen Sie uns überprüfen, ob der Admin-Benutzer das Token über Kerberos mit dem kinit-Befehl erhält, verwenden Sie das gleiche Passwort des Admin-Benutzers, das wir während der FreeIPA-Installation angegeben haben.
[[email protected] ~]# kinit admin Password for [email protected]: [[email protected] ~]# klist Ticket cache: KEYRING:persistent:0:0 Default principal: [email protected].LAN Valid starting Expires Service principal 11/26/2018 07:39:00 11/27/2018 07:38:55 krbtgt/[email protected] [[email protected] ~]#
Greifen Sie über die URL:
auf das FreeIPA-Verwaltungsportal zuhttps://ipa.linuxtechi.lan/ipa/ui
Verwenden Sie den Benutzernamen als admin und das Passwort, das wir während der Installation angeben.
Klicken Sie auf Anmelden
Dies bestätigt, dass wir FreeIPA erfolgreich auf CentOS 7 Server eingerichtet haben. Es schließt auch den Artikel ab, bitte teilen Sie uns Ihr Feedback und Ihre Kommentare mit.
Lesen Sie mehr unter:So konfigurieren Sie den FreeIPA-Client unter Ubuntu 18.04 / CentOS 7 für die zentrale Authentifizierung