GNU/Linux >> LINUX-Kenntnisse >  >> Cent OS

FreeIPA-Server auf Alma Linux 8/CentOS 8

Wir haben 3 Benutzer, Jhon, Doe, Mike. Angenommen, Sie arbeiten in der IT-Abteilung eines Softwareunternehmens. Sie müssen die Identität dieser 3 Benutzer verwalten. Einfach richtig? Sie können ihren Identitätszugriff einfach verwalten. Aber wie wäre es, wenn aus 3 Benutzern 300 oder 3000 werden? Wie können Sie sie verwalten?

Nun, die Dinge werden ziemlich schwierig, denke ich. Wie wäre es, wenn wir ein System haben könnten, das eine zentrale Identitätsinformation hat, vielleicht wäre das einfacher, unser erklärtes Problem zu lösen. Keine Sorge, FreeIPA ist hier, um Ihnen bei der Lösung des Problems zu helfen. P>

In diesem Artikel lernen wir einige Grundlagen über FreeIPA kennen und werden einige praktische Übungen durchführen !

Fangen wir an.

IPA steht für Identity, Policy und Audit. FreeIPA zielt darauf ab, diese 3 zentral verwaltet bereitzustellen. Es ist eine integrierte Lösung zur Verwaltung von Sicherheitsinformationen, die Linux (Fedora), 389 Directory Server, MIT Kerberos, NTP, DNS, Dogtag (Certificate System) kombiniert. Es besteht aus einer Webschnittstelle und Befehlszeilen-Verwaltungstools.


Ich schätze, ich bin fertig mit dem einfachen Jargon, lass uns an die Arbeit gehen.

Anforderungen

Ich brauchte die folgenden Dinge, um die Installations- und Konfigurationsarbeiten durchzuführen:

  • Frisch installierte Cantos 8-Maschine
  • 4 GB RAM.
  • 4-Kern-CPU.
  • 50 GB freier Speicherplatz.
  • 1 statische IP.

Bevor Sie beginnen

Maschineninstallation

Ich habe eine centos8-Maschine auf der virtuellen Box mit der IP 192.168.0.101 und dem Benutzer-IPA installiert. Den Rest erledigen wir mit dem Benutzernamen IPA. Der Benutzer IPA hat Administratorzugriff auf die Maschine. Es wird nicht empfohlen, root für Installationszwecke zu verwenden.

Legen Sie den Hostnamen fest

Wir werden den Hostnamen als ipamaster.unixcop.local festlegen. Natürlich können Sie Ihre eigenen festlegen

hostnamectl set-hostname ipamaster.unixcop.local

SELinux Permissiv

Wir müssen den SELinux-Modus auf Permissive/Disabled setzen

Wir können es permanent oder temporär machen, indem wir die Konfiguration unter /etc/selinux ändern Verzeichnis

Ich habe die Änderung dauerhaft wie unten gemacht. Sie müssen das System neu starten, nachdem Sie diese Änderungen vorgenommen haben.

Eintrag in die hosts-Datei

Wir müssen die IP und den Hostnamen zur Datei /etc/hosts hinzufügen. In meinem Fall ist die IP 192.168.0.101

Die Ausgabe meiner hosts-Datei sieht wie folgt aus

Stellen Sie sicher, dass diese Ports von niemand anderem verwendet werden!

  • 80, 443, 8080:HTTP/HTTPS
  • 389, 636:LDAP/LDAPS
  • 88, 464:Kerberos
  • 123:NTP

Falls Sie nicht wissen, wie Sie den offenen/benutzten Port im Linux-System überprüfen können

Führen Sie den folgenden Befehl aus, um zu zeigen, wie Sie die Überwachungsports Ihres Systems überprüfen können

netstat -tulpn

Installation &Konfiguration

Systemaktualisierung

Zuerst müssen wir unser System aktualisieren, nur um sicherzustellen, dass alle Pakete/Software aktualisiert sind.

Führen Sie den Befehl sudo dnf update -y aus

Haben Sie bitte Geduld! es kann eine Weile dauern (auf einem neuen Computer, abhängig von Ihrer Internetverbindung)

Erforderliche Pakete installieren

Almalinux/Centos 8 verfügt über die Modularity Repository-Funktion, mit der Sie zusätzliche Softwareversionen in unabhängigen Lebenszyklen über den Application Stream, auch als AppStream bezeichnet, installieren können. Dadurch können Sie Ihr Betriebssystem auf dem neuesten Stand halten und gleichzeitig über die richtige Version einer Anwendung verfügen, die zu Ihrem Anwendungsfall passt.

FreeIPA Server- und Client-Pakete werden über das AppStream-Repository in Alma Linux/Centos 8 verteilt. Möchten Sie es versuchen? Führen Sie den folgenden Befehl aus

sudo dnf module list idm

Aus der Ausgabe sehen wir, dass wir DL1- und Client-Module haben

Um weitere Informationen zum DL1-Modul zu erhalten, führen Sie den folgenden Befehl aus

sudo dnf module info idm:DL1

Hier erhalten Sie detaillierte Informationen zum Modul.

Da wir hier einen Server installieren, müssen wir zuerst das DL1-Modul installieren. Außerdem enthält DL1 einen ipa-Client, da ein Master ein Client von sich selbst ist.

Führen Sie den folgenden Befehl aus, um das Modul zu installieren

sudo dnf install @idm:DL1 -y

Wenn Sie freeIPA ohne DNS installieren möchten, führen Sie nur das folgende

aus

sudo dnf install freeipa-server --setup-dns

Wenn Sie DNS einschließen möchten, führen Sie Folgendes aus

sudo dnf install ipa-server-dns bind-dyndb-ldap

Warten Sie, bis das Paket heruntergeladen und installiert ist. Abhängig von Ihrer Internetverbindung kann dies einige Zeit dauern.

Zur Firewall hinzufügen

Wir müssen die folgenden Dienste zur Firewall hinzufügen

http.https, dns, ntp, freeipa-ldap, freeipa-ldaps

Befehl:

sudo firewall-cmd --add-service={http,https,dns,ntp,freeipa-ldap,freeipa-ldaps} --permanent

Dann müssen wir die Firewall neu laden, um die Änderungen zu übernehmen.

sudo firewall-cmd --reload

Installieren Sie den freeIPA-Server

Wir installieren den freeIPA-Server inklusive DNS

Gehen Sie mit dem folgenden Befehl

sudo ipa-server-install --setup-dns

Die Installationsarbeiten werden während der Installation wie folgt durchgeführt

* Konfigurieren Sie eine eigenständige Zertifizierungsstelle (Dogtag) für die Zertifikatsverwaltung

Konfigurieren Sie dann den NTP-Client (chronyd)

* Erstellen und konfigurieren Sie eine Instanz von Directory Server

*Erstellen und konfigurieren Sie ein Kerberos Key Distribution Center (KDC)

* Konfigurieren Sie Apache (httpd)

* Konfigurieren Sie DNS (bind) und konfigurieren Sie das KDC, um PKINIT zu aktivieren

  • Es wird nach dem Hostnamen gefragt. Wir haben den Hostnamen bereits früher festgelegt. Tippe es noch einmal ein oder drücke einfach die Eingabetaste, wenn du so faul bist wie ich 😉
  • Dann wird nach der Bestätigung des Domainnamens gefragt. In diesem Fall sollte der Name unixcop.local lauten. Art des Treffers Enter für den nächsten Schritt.
  • Im Folgenden finden Sie die folgenden Schritte:

(Ich teile mit, was ich mit der Namenskonvention gemacht habe. Ihre könnte anders sein)

REALM-Name:UNIXCOP.LOCAL

  • Passwort des Verzeichnismanagers:(wählen Sie ein Passwort mit 8 Zeichen)

  • Passwort bestätigen
  • IPA hat einen administrativen Benutzer namens „admin“. Wir müssen das Passwort für diesen Benutzer festlegen und das Passwort bestätigen.

  • Wir möchten diese Server als DNS-Weiterleitungen konfigurieren, drücken Sie die Eingabetaste für zusätzliche DNS-Server, fügen Sie die IP-Adresse hinzu, im Moment brauchen wir das nicht.
  • Dann wird die DNS-Reverse-Zone hinzugefügt und das NTP konfiguriert. Wir müssen Yes eingeben, wenn es chrony mit NTP-Servern konfigurieren möchte.
  • Nachdem Sie all dies abgeschlossen haben, wird die Eingabeaufforderung mit einer Installationszusammenfassung angezeigt. Wir müssen Ja in die Eingabeaufforderung eingeben, die besagt, dass Sie fortfahren, das System mit diesen Werten zu konfigurieren.
  • Dann beginnt der IPA mit der Konfiguration des Systems und erhält die folgende Ausgabe.

Nach einer Weile, nachdem der gesamte Installationsvorgang abgeschlossen ist, erhalten wir die folgende Ausgabe

Administrator bestätigen

Um den ipa-Befehl zu verwenden, müssen Sie zuerst ein Kerberos-Ticket erhalten. Es ist ein Zertifikat, das von einem Authentifizierungsserver ausgestellt und mit dem Serverschlüssel verschlüsselt wird.

Führen Sie den folgenden Befehl aus und Sie erhalten die Ausgabe wie diese

kinit admin

Wir können die detaillierten Informationen mit dem klist-Befehl

überprüfen

klist

Außerdem kann die user-find-Option des IPA-Befehls verwendet werden, um den Benutzer zu verifizieren

ipa user-find admin

Greifen Sie auf die FreeIPA-GUI zu

Nachdem alles erledigt ist, können wir jetzt auf die GUI zugreifen

Öffnen Sie Ihren bevorzugten Browser und geben Sie Folgendes ein

https://ipamaster.unixcop.local/

Sie finden die Landingpage wie folgt

Melden Sie sich auf der Seite mit „admin“ als Benutzernamen und dem Passwort an, das Sie bei der Installation vergeben haben.

Eine erfolgreiche Anmeldung wird auf dieser Seite angezeigt.

Einige Anwendungen hinzufügen

Wir fügen unseren ersten Benutzer John mit dem Befehl ipa user-add

hinzu

Der vollständige Befehl sieht so aus. Sein Benutzername ist user1

ipa user-add user1  --first=john --last=doe [email protected]  --shell=/bin/sh --password

Bei der ersten Anmeldung wird Benutzer1 gezwungen, das Passwort zu ändern

Und noch etwas, es sieht so aus, als ob das Home-Verzeichnis nicht erstellt wurde. Es verwendet das Home-Verzeichnis unseres Master-Knoten-Benutzers.

Wir müssen diese Sache ändern. Wir müssen sicherstellen, dass der Benutzer1 in seinem eigenen Home-Verzeichnis landet.

Mit dem Befehl authconfig aktualisieren wir das Home-Verzeichnis von Benutzer1

sudo authconfig --enablemkhomedir --update

Tatsächlich erstellt dies das Home-Verzeichnis von Benutzer1.

Deinstallieren

Wenn Sie das freeIPA deinstallieren möchten, drücken Sie den folgenden Befehl

sudo ipa-server-install --uninstall

Nun, das war es jetzt. Wenn Sie Fragen / Fragen / Bedenken haben, lassen Sie es mich bitte im Kommentarbereich wissen. Wenn Sie es nützlich finden, vergessen Sie nicht, es mit Ihren Freunden zu teilen!


Cent OS

  1. So installieren Sie den DNS-Server unter RHEL 8 / CentOS 8 Linux

  2. So installieren oder aktualisieren Sie auf PHP 7 auf CentOS 7 Linux Server

  3. So installieren Sie GUI Gnome auf einem CentOS 7-Linux-System

  4. So installieren Sie den FreeIPA-Client unter Rocky Linux/Alma Linux/CentOS 8

  5. So konvertieren Sie Centos 8 Linux in Alma Linux 8

Konfigurieren Sie den FreeIPA-Server auf CentOS 7 / RHEL 7 – einem Identitätsverwaltungssystem

Client zum FreeIPA-Server unter CentOS 8 hinzufügen

So installieren Sie Rabbitmq in Rocky Linux/Alma Linux/Centos 8

So installieren und konfigurieren Sie FreeIPA unter Rocky Linux/Centos 8

So konfigurieren Sie die FreeIPA-Replikation unter Rocky Linux/Alma Linux/Centos 8

So installieren Sie FreeIPA unter CentOS 7