Instale el servidor FreeIPA en RHEL8
-
- Introducción a FreeIPA
- 1. Establezca el nombre de host e instale actualizaciones
- 2. Actualizar el archivo de hosts
- 3. Apague SELinux
- 4. Permita el puerto FreeIPA en el firewall
- 5. Instale el paquete de software FreeIPA y sus componentes.
- 6. Configurar el servidor FreeIPA
- 7. Configurar la cuenta y contraseña del administrador de ipa
- 8. Visita el portal de gestión de FreeIPA
- gestión de usuarios ipa
Introducción a FreeIPA
Referencia: https://linux.cn/article-15783-1.html
FreeIPA [1] es una herramienta de gestión de acceso e identidad centralizada gratuita y de código abierto basada en sistemas Linux y es el proyecto ascendente de Red Hat Identity Manager. Con FreeIPA podemos gestionar fácilmente la autenticación centralizada, así como la gestión de cuentas, políticas (control de acceso basado en host) y auditoría.
FreeIPA se basa en los siguientes proyectos de código abierto:
- Servidor LDAP: basado en el proyecto 389
- KDC: basado en la implementación de MIT Kerberos
- PKI basada en el proyecto Dogtag
- Biblioteca Samba para integración con Active Directory
- Servidor DNS basado en BIND y el complemento Bind-DynDB-LDAP
- NTP
requisitos previos
- Sistema operativo RHEL8 preinstalado
- Usuario sudo con derechos de administrador
- RAM = 2 GB
- CPU = 2 vCPU
- disco =
根目录
espacio libre大于12GB
- conexión a Internet
Detalles del laboratorio de FreeIPA
- Dirección IP = 192.168.1.102
- Hostanme = ipa.linuxtechi.lan
- Sistema operativo: RHEL 8 o Rocky Linux 8 o AlmaLinux 8
Sin más preámbulos, profundicemos en los pasos de instalación de FreeIPA.
1. Establezca el nombre de host e instale actualizaciones
Abra la terminal del servidor y configure el nombre de host usando el comando hostnamectl:
# 设置ipa服务端主机名
hostnamectl set-hostname "ipa.linuxtechi.lan"
# 将当前Shell进程替换为一个新的Bash Shell进程,并继承原Shell的环境变量和当前工作目录
exec bash
# 更新系统到最新
dnf update -y
# 重启系统使更新完全生效
reboot
2. Actualizar el archivo de hosts
Ejecute el siguiente comando tee para actualizar el archivo /etc/hosts, reemplazando la dirección IP y el nombre de host según su configuración.
# 添加hosts配置
echo -e "192.168.1.102\tipa.linuxtechi.lan\t ipa" | sudo tee -a /etc/hosts
3. Apague SELinux
Para configurar SELinux con permisos, ejecute el siguiente comando:
# 临时关闭SELinux
sudo setenforce 0
# 将SELinux策略调为permissive(只记录警告不拒绝)
sudo sed -i 's/^SELINUX=.*/SELINUX=permissive/g' /etc/selinux/config
# 查看SELinux状态
getenforce
4. Permita el puerto FreeIPA en el firewall
Si está ejecutando un firewall del sistema en su servidor, ejecute el siguiente comando firewall-cmd para permitir el puerto FreeIPA:
# 防火墙放行freeipa-4
firewall-cmd --add-service=freeipa-4 --permanent
# 永久放行{http,https,dns,ntp,freeipa-ldap,freeipa-ldaps}服务
firewall-cmd --add-service={
http,https,dns,ntp,freeipa-ldap,freeipa-ldaps} --permanent
# 重新加载firewall防火墙
firewall-cmd --reload
5. Instale el paquete de software FreeIPA y sus componentes.
El paquete FreeIPA y sus dependencias se proporcionan en el repositorio de paquetes de Appstream. Como planeamos instalar FreeIPA con DNS integrado, también instalaremos ipa-server-dns y bind-dyndb-ldap.
Ejecute el siguiente comando para instalar el paquete FreeIPA y sus dependencias:
# 安装IdM(Identity Management)服务的默认套件组(DL1)
dnf -y install @idm:DL1
# 安装FreeIPA软件包及其组件
dnf install freeipa-server ipa-server-dns bind-dyndb-ldap -y
6. Configurar el servidor FreeIPA
Referencia: https://docs.oracle.com/zh-cn/learn/ol-freeipa/index.html
Después de instalar correctamente el paquete FreeIPA y sus dependencias, utilice el siguiente comando para iniciar la instalación de FreeIPA.
Le solicitará varias cosas, como configurar el DNS integrado, el nombre de host, el nombre de dominio y el nombre de dominio.
# 安装 FreeIPA
sudo ipa-server-install
El resultado del comando anterior se ve así:
Configurar el servicio DNS integrado
Do you want to configure integrated DNS (BIND)? [no]:
,ingresaryes
Configurar el nombre de host del servidor
Configurar nombre de dominio
Campos de configuración (todo en mayúsculas)
7. Configurar la cuenta y contraseña del administrador de ipa
Los servidores FreeIPA están 安装期间创建
en 用户组
:
- administradores
- ipausadores
- administradores de confianza
Advertencia: No elimine el grupo de administración porque contiene el usuario administrador predeterminado. El servidor FreeIPA requiere que el grupo de administración funcione correctamente.
Ingrese y confirme 目录服务器超级用户
la FreeIPA admin 用户
suma 密码
. 目录服务器超级用户
Se asigna a 目录
cn=Administrador de directorios en.
Establecer 目录服务器超级用户
contraseña
Establecer IPA服务器管理用户
la contraseña para "admin"
Aceptar valores predeterminados para NETBIOS域名
y配置时间
Después de ingresar " " en la ventana anterior yes
, tomará algún tiempo configurar su servidor FreeIPA. Una vez que la configuración sea exitosa, obtendremos el siguiente resultado: El
resultado anterior confirma que FreeIPA se ha instalado exitosamente.
8. Visita el portal de gestión de FreeIPA
Ejecute el siguiente comando ipactl para comprobar si todos los servicios FreeIPA se están ejecutando:
# 显示 FreeIPA 服务的当前状态--必须以root运行
sudo ipactl status
## 回显
Directory Service: RUNNING
krb5kdc Service: RUNNING
kadmin Service: RUNNING
named Service: RUNNING
httpd Service: RUNNING
ipa-custodia Service: RUNNING
pki-tomcatd Service: RUNNING
ipa-otpd Service: RUNNING
ipa-dnskeysyncd Service: RUNNING
ipa: INFO: The ipactl command was successful
Usemos el comando kinit para verificar que el usuario administrador obtendrá un token a través de Kerberos, usando la misma contraseña de usuario administrador que proporcionamos durante la instalación de FreeIPA.
# 获取ipa管理员凭证
sudo kinit admin
# 查看当前已获取的ipa管理员凭证信息
sudo klist
Resultado del comando anterior:
Perfecto, el resultado anterior confirma que el administrador obtuvo el token. Ahora, intenta acceder a la consola web de FreeIPA, ingresa la siguiente URL en tu navegador web:
https://ipa.linuxtechi.lan/ipa/ui
o
https://<Server-IPAddress>/ipa/ui
用户名 admin
Utilice el y que especificamos durante la instalación 密码
.
Para la consola web FreeIPA, utilice un certificado SSL autofirmado, por eso vemos esta ventana, así que haga clic en "Aceptar el riesgo y continuar Accept the Risk and Continue
".
Después de ingresar sus credenciales, haga clic en Iniciar sesión.
Esto confirma que hemos configurado FreeIPA con éxito en RHEL8.
gestión de usuarios ipa
gestión de grupos de usuarios ipa
# 创建用户组ops
ipa group-add ops
# 获取FreeIPA服务器上所有现有用户组的列表
ipa group-find
gestión de usuarios ipa
# 将用户ops添加到opsadmin组中
ipa group-add-member ops --users=opsadmin
# 获取FreeIPA服务器上所有现有用户的列表
ipa user-find