Instale o servidor FreeIPA no RHEL8

Introdução ao FreeIPA

Referência: https://linux.cn/article-15783-1.html

FreeIPA [1] é uma ferramenta centralizada de gerenciamento de identidade e acesso, gratuita e de código aberto, baseada em sistemas Linux. É o projeto upstream do Red Hat Identity Manager. Usando o FreeIPA, podemos gerenciar facilmente a autenticação centralizada, bem como o gerenciamento de contas, políticas (controle de acesso baseado em host) e auditoria.
FreeIPA é baseado nos seguintes projetos de código aberto:

Servidor LDAP – Baseado no Projeto 389
KDC – baseado na implementação do MIT Kerberos
PKI baseado no projeto Dogtag
Biblioteca Samba para integração com Active Directory
Servidor DNS baseado no plugin BIND e Bind-DynDB-LDAP
NTP

pré-requisitos

Sistema operacional RHEL8 pré-instalado
Usuário Sudo com direitos de administrador
RAM = 2GB
CPU = 2 vCPU
disco = 根目录espaço livre大于12GB
conexão de internet

Detalhes do laboratório do FreeIPA

Endereço IP = 192.168.1.102
Hostanme = ipa.linuxtechi.lan
Sistema operacional: RHEL 8 ou Rocky Linux 8 ou AlmaLinux 8

Sem mais delongas, vamos mergulhar nas etapas de instalação do FreeIPA.

1. Defina o nome do host e instale as atualizações

Abra o terminal do servidor e defina o nome do host usando o comando hostnamectl:

# 设置ipa服务端主机名
hostnamectl set-hostname "ipa.linuxtechi.lan"

# 将当前Shell进程替换为一个新的Bash Shell进程,并继承原Shell的环境变量和当前工作目录
exec bash

# 更新系统到最新
dnf update -y

# 重启系统使更新完全生效
reboot

2. Atualizar arquivo hosts

Execute o seguinte comando tee para atualizar o arquivo /etc/hosts, substituindo o endereço IP e o nome do host de acordo com suas configurações.

# 添加hosts配置
echo -e "192.168.1.102\tipa.linuxtechi.lan\t ipa" | sudo tee -a /etc/hosts

3. Desligue o SELinux

Para definir permissões do SELinux, execute o seguinte comando:

# 临时关闭SELinux
sudo setenforce 0

# 将SELinux策略调为permissive(只记录警告不拒绝)
sudo sed -i 's/^SELINUX=.*/SELINUX=permissive/g' /etc/selinux/config

# 查看SELinux状态
getenforce

4. Permitir a porta FreeIPA no firewall

Se você estiver executando um firewall de sistema em seu servidor, execute o seguinte comando firewall-cmd para permitir a porta FreeIPA:

# 防火墙放行freeipa-4
firewall-cmd --add-service=freeipa-4 --permanent

# 永久放行{http,https,dns,ntp,freeipa-ldap,freeipa-ldaps}服务
firewall-cmd --add-service={
    
    http,https,dns,ntp,freeipa-ldap,freeipa-ldaps} --permanent

# 重新加载firewall防火墙
firewall-cmd --reload

5. Instale o pacote de software FreeIPA e seus componentes

O pacote FreeIPA e suas dependências são fornecidos no repositório de pacotes Appstream. Como planejamos instalar o FreeIPA com DNS integrado, também instalaremos ipa-server-dns e bind-dyndb-ldap.
Execute o seguinte comando para instalar o pacote FreeIPA e suas dependências:

# 安装IdM(Identity Management)服务的默认套件组(DL1)
dnf -y install @idm:DL1

# 安装FreeIPA软件包及其组件
dnf install freeipa-server ipa-server-dns bind-dyndb-ldap -y

6. Configure o servidor FreeIPA

Referência: https://docs.oracle.com/zh-cn/learn/ol-freeipa/index.html
Depois de instalar com sucesso o pacote FreeIPA e suas dependências, use o seguinte comando para iniciar a configuração de instalação do FreeIPA.
Ele solicitará várias coisas, como configuração do DNS integrado, nome do host, nome de domínio e nome do domínio.

# 安装 FreeIPA
sudo ipa-server-install

A saída do comando acima é semelhante a esta:
Insira a descrição da imagem aqui

Configurar serviço DNS integrado

Do you want to configure integrated DNS (BIND)? [no]:,digitaryes

Configurar nome de host do servidor

Insira a descrição da imagem aqui

Configurar nome de domínio

Campos de configuração (todas em maiúsculas)

7. Configure a conta e senha do administrador ipa

Os servidores FreeIPA estão 安装期间创建em 用户组:

administradores
ipausers
administradores de confiança

Aviso: não exclua o grupo admin porque ele contém o usuário admin padrão. O servidor FreeIPA requer que o grupo admin funcione corretamente.

Digite e confirme 目录服务器超级用户a FreeIPA admin 用户soma 密码.
目录服务器超级用户Mapeia para 目录cn=Directory Manager.
Insira a descrição da imagem aqui

Conjunto `目录服务器超级用户`de senha

Insira a descrição da imagem aqui

Defina `IPA服务器管理用户`a senha para "admin"

Aceite os valores padrão para `NETBIOS域名`e`配置时间`

Depois de inserir " " na janela acima yes, levará algum tempo para configurar seu servidor FreeIPA. Assim que a configuração for bem-sucedida, obteremos a seguinte saída: A

saída acima confirma que o FreeIPA foi instalado com sucesso.

8. Visite o portal de gerenciamento FreeIPA

Execute o seguinte comando ipactl para verificar se todos os serviços FreeIPA estão em execução:

# 显示 FreeIPA 服务的当前状态--必须以root运行
sudo ipactl status

## 回显
Directory Service: RUNNING
krb5kdc Service: RUNNING
kadmin Service: RUNNING
named Service: RUNNING
httpd Service: RUNNING
ipa-custodia Service: RUNNING
pki-tomcatd Service: RUNNING
ipa-otpd Service: RUNNING
ipa-dnskeysyncd Service: RUNNING
ipa: INFO: The ipactl command was successful

Vamos usar o comando kinit para verificar se o usuário administrador receberá um token via Kerberos, usando a mesma senha de usuário administrador que fornecemos durante a instalação do FreeIPA.

# 获取ipa管理员凭证
sudo kinit admin

# 查看当前已获取的ipa管理员凭证信息
sudo klist

Saída do comando acima:

Perfeito, a saída acima confirma que o administrador obteve o token. Agora, tente acessar o console web do FreeIPA, digite o seguinte URL em seu navegador:

https://ipa.linuxtechi.lan/ipa/ui

https://<Server-IPAddress>/ipa/ui

用户名 adminUse o e que especificamos durante a instalação 密码.

Para o console web FreeIPA, use um certificado SSL autoassinado, é por isso que vemos esta janela, então clique em “Aceite o risco e continue Accept the Risk and Continue”.

Após inserir suas credenciais, clique em Login.

Isso confirma que configuramos com sucesso o FreeIPA no RHEL8.

gerenciamento de usuários ipa

gerenciamento de grupo de usuários ipa

# 创建用户组ops
ipa group-add ops

# 获取FreeIPA服务器上所有现有用户组的列表
ipa group-find

gerenciamento de usuários ipa

# 将用户ops添加到opsadmin组中
ipa group-add-member ops --users=opsadmin

# 获取FreeIPA服务器上所有现有用户的列表
ipa user-find