FreeIPA ist eine von RedHat gesponserte kostenlose Open-Source-Suite für Identität, Richtlinien und Audit (IPA). Es ist eine IPA-Lösungskombination aus Linux (Fedora), 389 Directory Server, MIT Kerberos, NTP, DNS Bind, Dogtag, Apache Webserver und Python.
FreeIPA wird mit dem Befehlszeilen-Verwaltungstool und einer schönen Web-UI-Oberfläche geliefert, die auf Python und dem Apache-Webserver läuft. Erreiche derzeit die neueste stabile Version 4.7.0.
In diesem Tutorial zeigen wir Ihnen, wie Sie FreeIPA auf CentOS 7 Server installieren und konfigurieren. Wir werden den neuesten CentOS 7-Server mit 2 GB Arbeitsspeicher verwenden und die neueste stabile Version der FreeIPA-Pakete installieren.
Grundlegende Systemanforderungen:
- Empfohlener Speicher RAM 2 GB oder mehr
- RHEL oder CentOS 7 oder Fedora mit Root-Rechten
Was wir tun werden:
- Hosts einrichten
- FreeIPA-Pakete installieren
- FreeIPA-Server einrichten
- Administrator bestätigen
- Neuen Benutzer hinzufügen
- Anmeldung testen
Schritt 1 - Hosts einrichten
Zuerst ändern wir den Hostnamen des Servers, bearbeiten dann die Datei „/etc/hosts“ und richten den FQDN ein.
Führen Sie den folgenden Befehl aus, um den Hostnamen des Servers zu ändern.
hostnamectl set-hostname ipa.hakase-labs.io
Bearbeiten Sie danach die Datei „/etc/hosts“ des Systems.
vim /etc/hosts
Fügen Sie die folgende Konfiguration hinzu.
10.9.9.15 ipa.hakase-labs.io ipa
Speichern und schließen.
Melden Sie sich jetzt vom Server ab und wieder an, und überprüfen Sie dann den Hostnamen und den FQDN mit den folgenden Befehlen.
hostname
hostname -f
Damit haben wir den CentOS 7-Server mit dem Hostnamen „ipa“ und dem FQDN „ipa.hakase-labs.io“.
Schritt 2 - FreeIPA-Pakete installieren
Nachdem wir den Hostnamen und FQDN des Servers eingerichtet haben, werden wir FreeIPA-Pakete aus dem offiziellen CentOS-Repository installieren.
Führen Sie den folgenden yum-Befehl als root aus.
sudo yum install ipa-server bind-dyndb-ldap ipa-server-dns -y
Nach der Paketinstallation werden wir der Firewall neue Dienste hinzufügen. Fügen Sie vor allem die Dienste http, https, ldap, ldaps, Kerberos und kpasswd zur Firewall-Konfiguration hinzu.
Führen Sie den folgenden Bash-Befehl aus und laden Sie dann den Firewalld-Dienst neu.
for SERVICES in ntp http https ldap ldaps kerberos kpasswd dns; do firewall-cmd --permanent --add-service=$SERVICES; done
firewall-cmd --reload
Als Ergebnis wurden FreeIPA-Pakete installiert und alle FreeIPA-Dienste zur Firewall-Konfiguration hinzugefügt.
Schritt 3 - FreeIPA-Server einrichten
In diesem Schritt richten wir den FreeIPA-Server und den DNS ein. Zu diesem Zweck bietet FreeIPA eine interaktive Befehlszeile. So können wir die FreeIPA-Konfiguration einfach verwalten.
Führen Sie den folgenden Befehl aus, um den FreeIPA-Server zu konfigurieren.
ipa-server-install --setup-dns
Zuerst müssen wir den Server-Hostnamen, den Domänennamen und den REALM-Namen konfigurieren. Geben Sie Ihren eigenen Domänennamen und Servernamen wie unten ein und fahren Sie dann fort.
Server host name [ipa.hakase-labs.io]: ipa.hakase-labs.io
Please confirm the domain name [hakase-labs.io]: hakase-labs.io
Please provide a realm name [HAKASE-LABS.IO]: HAKASE-LABS.IO
Danach müssen Sie den Verzeichnismanager und die FreeIPA-Admin-Passwörter konfigurieren. Geben Sie Ihre eigenen Anmeldedaten ein und fahren Sie fort.
Directory Manager password: hakasemanager123
Password (confirm): hakasemanager123
IPA admin password: hakaseadmin123
Password (confirm): hakaseadmin123
Geben Sie als Nächstes „Ja“ für die DNS-Weiterleitungskonfiguration ein. Geben Sie dann zusätzliche Resolver-IP-Adressen ein und fahren Sie fort.
Do you want to configure DNS forwarders? [yes]: yes
Do you want to configure these servers as DNS forwarders? [yes]: yes
Enter an IP address for a DNS forwarder, or press Enter to skip: 1.1.1.1
Enter an IP address for a DNS forwarder, or press Enter to skip: 8.8.8.8
Enter an IP address for a DNS forwarder, or press Enter to skip: Press Enter
Geben Sie „Ja“ ein und fahren Sie mit der Suche und Erstellung der fehlenden Reverse-Zone fort.
Do you want to search for missing reverse zones? [yes]: yes
Jetzt werden Sie aufgefordert, die umgekehrte Zone der IP-Adresse des FreeIPA-Servers zu erstellen. Geben Sie „Ja“ ein und fahren Sie fort.
Do you want to create reverse zone for IP 10.9.9.15 [yes]: yes
Please specify the reverse zone name [9.9.10.in-addr.arpa.]: Press Enter
Und zuletzt werden Sie aufgefordert, alle oben genannten Konfigurationen auf das System anzuwenden. Geben Sie „yes“ ein und warten Sie auf die FreeIPA-Konfiguration.
Continue to configure the system with these values? [no]: yes
Und die FreeIPA-Konfiguration ist abgeschlossen, Sie erhalten das folgende Ergebnis.
Schritt 4 – Administrator bestätigen
Zu diesem Zeitpunkt haben wir FreeIPA bereits auf dem CentOS 7-Server eingerichtet. Jetzt werden wir unsere Konfiguration überprüfen.
Überprüfen Sie das Kerberos-Admin-Passwort mit dem Befehl kinit.
kinit admin
Geben Sie Ihr Admin-Passwort ein und vergewissern Sie sich, dass kein Fehler vorliegt.
Überprüfen Sie danach mit dem folgenden Befehl, ob der Admin-Benutzer in der FreeIPA-Datenbank verfügbar ist.
ipa user-find admin
Als Nächstes überprüfen wir die FreeIPA-Admin-Web-UI.
Öffnen Sie den Webbrowser und geben Sie Ihren FreeIPA-Domainnamen in die Adressleiste ein. Meine ist:
https://ipa.hakase-labs.io/
Und Sie erhalten die FreeIPA-Web-UI-Anmeldeseite.
Melden Sie sich mit dem Benutzer „admin“ und dem Passwort an, das Sie in Schritt 3 gewählt haben.
Und Sie erhalten das FreeIPA-Admin-Dashboard. Mit anderen Worten, die Installation und Konfiguration von FreeIPA auf CentOS 7 ist korrekt.
Schritt 5 – Neuen Benutzer hinzufügen
Für dieses Beispiel erstellen wir einen neuen FreeIPA-Benutzer namens „hiroyuki“. Und natürlich können Sie das durch Ihren eigenen Benutzer ersetzen. Versuchen Sie dann, mit diesem neuen Benutzer über SSH auf den Server zuzugreifen.
Bevor Sie beginnen, bearbeiten Sie die LDAP-Client-Konfiguration, um „Home-Verzeichnis erstellen“ zu aktivieren. Führen Sie den folgenden Befehl unten aus.
sudo authconfig --enablemkhomedir --update
Erstellen Sie nun das 'Hiroyuki', indem Sie den folgenden ipa-Befehl ausführen.
ipa user-add hiroyuki --first=Sawano --last=Hiroyuki [email protected] --shell=/bin/bash --password
Geben Sie Ihr starkes Passwort ein.
Überprüfen Sie danach Ihren Benutzer auf dem FreeIPA-System. Stellen Sie sicher, dass Sie Ihren Benutzer auf den Server bekommen.
ipa user-find hiroyuki
Der neue FreeIPA-Benutzer wurde erstellt und wir können ihn testen.
Schritt 6 – Testanmeldung
Wir werden einen Test durchführen, um vom lokalen Computer über SSH eine Verbindung zum FreeIPA-Server herzustellen, und zwar unter Verwendung des Benutzers, den wir gerade in Schritt 5 erstellt haben, in diesem Beispiel ist es „hiroyuki“.
Führen Sie auf Ihrem lokalen System den folgenden ssh-Befehl aus.
ssh [email protected]
Geben Sie nun Ihr Passwort ein. Wenn der Vorgang abgeschlossen ist, wird Ihnen die Benachrichtigung angezeigt, dass das Passwort abgelaufen ist. Geben Sie Ihr aktuelles Passwort ein, um es mit dem neuen Passwort zu ändern.
Als Ergebnis befinden Sie sich jetzt in Ihrem Home-Verzeichnis und melden sich mit der soeben erstellten FreeIPA-Verwendung erfolgreich beim Server an.
Schließlich wurde die Installation und Konfiguration von FreeIPA auf dem CentOS 7-Server erfolgreich abgeschlossen.
Links
- https://www.freeipa.org/page/Main_Page
- So installieren Sie den FreeIPA-Client auf CentOS 7
- So installieren Sie den FreeIPA-Client auf Ubuntu Server 18.04