最重要的是要配置ntp时间同步,否则其他服务器可能导致身份认证失败!!!
Centos8
#配置要求
内存:4G(最好8G)
CPU;4核
硬盘:500G
#设置本地时区
软件基本都是UTC为准的,系统最好不要设置国内时区
timedatectl set-timezone UTC
#升级内核、软件
yum -y update
1、准备工作
a、设置静态IP
参考常用命令里设置ip方式
b、设置主机名字
hostnamectl set-hostname yin.111.com
c、编辑host文件
vi /etc/hosts
填写本机ip地址和主机名
d、关闭selinux和防火墙
setenforce 0
vim /etc/selinux/config
#将SELINUX=ENFORCING改为 SELINUX=disabed #
systemctl stop firewalld
systemctl disable firewalld
#不关闭防火墙情况下,要打开所有freeipa端口服务
firewall-cmd --add-service=freeipa-ldap --add-service=freeipa-ldaps --permanent
e、 配置随机数生成器
接下来我们将在CentOS中配置随机数生成器。这将允许FreeIPA预先形成其进行身份验证所需的加密功能。
设置FreeIPA需要大量随机数据来运行它的加密操作。默认情况下,虚拟机将很快耗尽随机数据或熵。为了解决这个问题,我们将使用rngd软件随机数生成器。rngd通过从连接到其他服务器的硬件设备获取数据并将其提供给内核的随机数生成器来工作。
yum -y install rng-tools
systemctl start rngd
systemctl enable rngd
systemctl status rngd
2、安装freeipa
a、启用idm:DL1存储库
默认情况下,FreeIPA软件包在CentOS标准存储库中不可用。因此,您将需要在系统中启用idm:DL1存储库。
dnf -y module enable idm:DL1
接下来,使用以下命令同步存储库:
dnf -y distro-sync
b、安装程序以及依赖
yum install -y ipa-server bind bind-dyndb-ldap ipa-server-dns
c、安装完以后配置freeipa
通过以下命令进行配置
ipa-server-install
Do you want to configure integrated DNS (BIND)? [no]: no
需要提供服务器的主机名:按enter键代表默认主机名
设置目录管理器密码
设置IPA管理员密码
Do you want to configure chrony with NTP server or pool address?[no]:no
Continue to configure the system with these values? [no]: yes
这个CA实例创建的很慢,有可能也会出错,出错就只能卸载重装
我这里出错了,dbus服务异常
重启dbus服务
systemctl restart dbus.service
systemctl restart dbus.socket
先把freeIPA卸载,重新安装即可
ipa-server-install --uninstall
再执行安装命令
ipa-server-install
没有提示错误就代表安装成功
3、 验证FreeIPA服务功能
a、首先,通过尝试为admin用户初始化Kerberos令牌来验证Kerberos域是否已正确安装。
初始化admin用户,执行klist,查看票据有效期
kinit admin
klist
b、验证IPA服务器是否正常运行
ipa user-find admin
4、登录web界面
浏览器输入本机IP地址进行访问
其他电脑访问,首先配置host文件
a、Win10配置
192.168.3.109 ipa.trunk.tech ipa
b、Linux系统
vi /etc/hosts
填写freeipa服务器ip地址和主机名