Installer le serveur FreeIPA sur RHEL8
-
- Introduction à FreeIPA
- 1. Définissez le nom d'hôte et installez les mises à jour
- 2. Mettre à jour le fichier d'hôtes
- 3. Désactivez SELinux
- 4. Autoriser le port FreeIPA dans le pare-feu
- 5. Installez le progiciel FreeIPA et ses composants
- 6. Configurer le serveur FreeIPA
- 7. Configurez le compte administrateur et le mot de passe ipa
- 8. Visitez le portail de gestion FreeIPA
- gestion des utilisateurs ipa
Introduction à FreeIPA
Référence : https://linux.cn/article-15783-1.html
FreeIPA [1] est un outil de gestion centralisé des identités et des accès gratuit et open source basé sur les systèmes Linux. C'est le projet en amont de Red Hat Identity Manager. Grâce à FreeIPA, nous pouvons facilement gérer l'authentification centralisée ainsi que la gestion des comptes, la politique (contrôle d'accès basé sur l'hôte) et l'audit.
FreeIPA est basé sur les projets open source suivants :
- Serveur LDAP – Basé sur le projet 389
- KDC – basé sur la mise en œuvre de MIT Kerberos
- PKI basée sur le projet Dogtag
- Bibliothèque Samba pour l'intégration d'Active Directory
- Serveur DNS basé sur le plugin BIND et Bind-DynDB-LDAP
- NTP
conditions préalables
- Système d'exploitation RHEL8 préinstallé
- Utilisateur Sudo avec droits d'administrateur
- RAM = 2 Go
- Processeur = 2 processeurs virtuels
- disque =
根目录espace libre大于12GB - connexion Internet
Détails du laboratoire FreeIPA
- Adresse IP = 192.168.1.102
- Hostanme = ipa.linuxtechi.lan
- Système d'exploitation : RHEL 8 ou Rocky Linux 8 ou AlmaLinux 8
Sans plus tarder, passons aux étapes d’installation de FreeIPA.
1. Définissez le nom d'hôte et installez les mises à jour
Ouvrez le terminal du serveur et définissez le nom d'hôte à l'aide de la commande hostnamectl :
# 设置ipa服务端主机名
hostnamectl set-hostname "ipa.linuxtechi.lan"
# 将当前Shell进程替换为一个新的Bash Shell进程,并继承原Shell的环境变量和当前工作目录
exec bash
# 更新系统到最新
dnf update -y
# 重启系统使更新完全生效
reboot
2. Mettre à jour le fichier d'hôtes
Exécutez la commande tee suivante pour mettre à jour le fichier /etc/hosts, en remplaçant l'adresse IP et le nom d'hôte en fonction de vos paramètres.
# 添加hosts配置
echo -e "192.168.1.102\tipa.linuxtechi.lan\t ipa" | sudo tee -a /etc/hosts
3. Désactivez SELinux
Pour définir SELinux sur les autorisations, exécutez la commande suivante :
# 临时关闭SELinux
sudo setenforce 0
# 将SELinux策略调为permissive(只记录警告不拒绝)
sudo sed -i 's/^SELINUX=.*/SELINUX=permissive/g' /etc/selinux/config
# 查看SELinux状态
getenforce
4. Autoriser le port FreeIPA dans le pare-feu
Si vous exécutez un pare-feu système sur votre serveur, exécutez la commande firewall-cmd suivante pour autoriser le port FreeIPA :
# 防火墙放行freeipa-4
firewall-cmd --add-service=freeipa-4 --permanent
# 永久放行{http,https,dns,ntp,freeipa-ldap,freeipa-ldaps}服务
firewall-cmd --add-service={
http,https,dns,ntp,freeipa-ldap,freeipa-ldaps} --permanent
# 重新加载firewall防火墙
firewall-cmd --reload
5. Installez le progiciel FreeIPA et ses composants
Le package FreeIPA et ses dépendances sont fournis dans le référentiel de packages Appstream. Puisque nous prévoyons d'installer FreeIPA avec DNS intégré, nous installerons également ipa-server-dns et bind-dyndb-ldap.
Exécutez la commande suivante pour installer le package FreeIPA et ses dépendances :
# 安装IdM(Identity Management)服务的默认套件组(DL1)
dnf -y install @idm:DL1
# 安装FreeIPA软件包及其组件
dnf install freeipa-server ipa-server-dns bind-dyndb-ldap -y
6. Configurer le serveur FreeIPA
Référence : https://docs.oracle.com/zh-cn/learn/ol-freeipa/index.html
Après avoir installé avec succès le package FreeIPA et ses dépendances, utilisez la commande suivante pour démarrer la configuration de l'installation de FreeIPA.
Il vous demandera plusieurs choses, telles que la configuration du DNS intégré, du nom d'hôte, du nom de domaine et du nom de domaine.
# 安装 FreeIPA
sudo ipa-server-install
Le résultat de la commande ci-dessus ressemble à ceci :
Configurer le service DNS intégré
Do you want to configure integrated DNS (BIND)? [no]:,entreryes
Configurer le nom d'hôte du serveur
Configurer le nom de domaine
Champs de configuration (toutes en majuscules)
7. Configurez le compte administrateur et le mot de passe ipa
Les serveurs FreeIPA sont 安装期间创建à 用户组:
- administrateurs
- utilisateurs
- faire confiance aux administrateurs
Avertissement : Ne supprimez pas le groupe d'administrateurs car il contient l'utilisateur administrateur par défaut. Le serveur FreeIPA nécessite le groupe d'administrateurs pour fonctionner correctement.
Saisissez et confirmez 目录服务器超级用户la FreeIPA admin 用户somme 密码. 目录服务器超级用户Correspond à 目录cn=Directory Manager dans.
目录服务器超级用户Mot de passe défini
Définir IPA服务器管理用户le mot de passe pour "admin"
Acceptez les valeurs par défaut pour NETBIOS域名et配置时间
Après avoir entré " " dans la fenêtre ci-dessus yes, la configuration de votre serveur FreeIPA prendra un certain temps. Une fois la configuration réussie, nous obtiendrons le résultat suivant : Le 
résultat ci-dessus confirme que FreeIPA a été installé avec succès.
8. Visitez le portail de gestion FreeIPA
Exécutez la commande ipactl suivante pour vérifier si tous les services FreeIPA sont en cours d'exécution :
# 显示 FreeIPA 服务的当前状态--必须以root运行
sudo ipactl status
## 回显
Directory Service: RUNNING
krb5kdc Service: RUNNING
kadmin Service: RUNNING
named Service: RUNNING
httpd Service: RUNNING
ipa-custodia Service: RUNNING
pki-tomcatd Service: RUNNING
ipa-otpd Service: RUNNING
ipa-dnskeysyncd Service: RUNNING
ipa: INFO: The ipactl command was successful
Utilisons la commande kinit pour vérifier que l'utilisateur administrateur obtiendra un jeton via Kerberos, en utilisant le même mot de passe d'utilisateur administrateur que nous avons fourni lors de l'installation de FreeIPA.
# 获取ipa管理员凭证
sudo kinit admin
# 查看当前已获取的ipa管理员凭证信息
sudo klist
Résultat de la commande ci-dessus : 
Parfait, le résultat ci-dessus confirme que l'administrateur a obtenu le jeton. Maintenant, essayez d'accéder à la console Web FreeIPA, entrez l'URL suivante sur votre navigateur Web :
https://ipa.linuxtechi.lan/ipa/ui
ou
https://<Server-IPAddress>/ipa/ui
用户名 adminUtilisez le et nous avons spécifié lors de l'installation 密码. 
Pour la console Web FreeIPA, utilisez un certificat SSL auto-signé, c'est pourquoi nous voyons cette fenêtre, cliquez donc sur "Accepter le risque et continuer Accept the Risk and Continue". 
Après avoir saisi vos identifiants, cliquez sur Connexion. 
Cela confirme que nous avons configuré avec succès FreeIPA sur RHEL8.
gestion des utilisateurs ipa
gestion des groupes d'utilisateurs ipa
# 创建用户组ops
ipa group-add ops
# 获取FreeIPA服务器上所有现有用户组的列表
ipa group-find
gestion des utilisateurs ipa
# 将用户ops添加到opsadmin组中
ipa group-add-member ops --users=opsadmin
# 获取FreeIPA服务器上所有现有用户的列表
ipa user-find