Instale o servidor FreeIPA no RHEL8
-
- Introdução ao FreeIPA
- 1. Defina o nome do host e instale as atualizações
- 2. Atualizar arquivo hosts
- 3. Desligue o SELinux
- 4. Permitir a porta FreeIPA no firewall
- 5. Instale o pacote de software FreeIPA e seus componentes
- 6. Configure o servidor FreeIPA
- 7. Configure a conta e senha do administrador ipa
- 8. Visite o portal de gerenciamento FreeIPA
- gerenciamento de usuários ipa
Introdução ao FreeIPA
Referência: https://linux.cn/article-15783-1.html
FreeIPA [1] é uma ferramenta centralizada de gerenciamento de identidade e acesso, gratuita e de código aberto, baseada em sistemas Linux. É o projeto upstream do Red Hat Identity Manager. Usando o FreeIPA, podemos gerenciar facilmente a autenticação centralizada, bem como o gerenciamento de contas, políticas (controle de acesso baseado em host) e auditoria.
FreeIPA é baseado nos seguintes projetos de código aberto:
- Servidor LDAP – Baseado no Projeto 389
- KDC – baseado na implementação do MIT Kerberos
- PKI baseado no projeto Dogtag
- Biblioteca Samba para integração com Active Directory
- Servidor DNS baseado no plugin BIND e Bind-DynDB-LDAP
- NTP
pré-requisitos
- Sistema operacional RHEL8 pré-instalado
- Usuário Sudo com direitos de administrador
- RAM = 2GB
- CPU = 2 vCPU
- disco =
根目录
espaço livre大于12GB
- conexão de internet
Detalhes do laboratório do FreeIPA
- Endereço IP = 192.168.1.102
- Hostanme = ipa.linuxtechi.lan
- Sistema operacional: RHEL 8 ou Rocky Linux 8 ou AlmaLinux 8
Sem mais delongas, vamos mergulhar nas etapas de instalação do FreeIPA.
1. Defina o nome do host e instale as atualizações
Abra o terminal do servidor e defina o nome do host usando o comando hostnamectl:
# 设置ipa服务端主机名
hostnamectl set-hostname "ipa.linuxtechi.lan"
# 将当前Shell进程替换为一个新的Bash Shell进程,并继承原Shell的环境变量和当前工作目录
exec bash
# 更新系统到最新
dnf update -y
# 重启系统使更新完全生效
reboot
2. Atualizar arquivo hosts
Execute o seguinte comando tee para atualizar o arquivo /etc/hosts, substituindo o endereço IP e o nome do host de acordo com suas configurações.
# 添加hosts配置
echo -e "192.168.1.102\tipa.linuxtechi.lan\t ipa" | sudo tee -a /etc/hosts
3. Desligue o SELinux
Para definir permissões do SELinux, execute o seguinte comando:
# 临时关闭SELinux
sudo setenforce 0
# 将SELinux策略调为permissive(只记录警告不拒绝)
sudo sed -i 's/^SELINUX=.*/SELINUX=permissive/g' /etc/selinux/config
# 查看SELinux状态
getenforce
4. Permitir a porta FreeIPA no firewall
Se você estiver executando um firewall de sistema em seu servidor, execute o seguinte comando firewall-cmd para permitir a porta FreeIPA:
# 防火墙放行freeipa-4
firewall-cmd --add-service=freeipa-4 --permanent
# 永久放行{http,https,dns,ntp,freeipa-ldap,freeipa-ldaps}服务
firewall-cmd --add-service={
http,https,dns,ntp,freeipa-ldap,freeipa-ldaps} --permanent
# 重新加载firewall防火墙
firewall-cmd --reload
5. Instale o pacote de software FreeIPA e seus componentes
O pacote FreeIPA e suas dependências são fornecidos no repositório de pacotes Appstream. Como planejamos instalar o FreeIPA com DNS integrado, também instalaremos ipa-server-dns e bind-dyndb-ldap.
Execute o seguinte comando para instalar o pacote FreeIPA e suas dependências:
# 安装IdM(Identity Management)服务的默认套件组(DL1)
dnf -y install @idm:DL1
# 安装FreeIPA软件包及其组件
dnf install freeipa-server ipa-server-dns bind-dyndb-ldap -y
6. Configure o servidor FreeIPA
Referência: https://docs.oracle.com/zh-cn/learn/ol-freeipa/index.html
Depois de instalar com sucesso o pacote FreeIPA e suas dependências, use o seguinte comando para iniciar a configuração de instalação do FreeIPA.
Ele solicitará várias coisas, como configuração do DNS integrado, nome do host, nome de domínio e nome do domínio.
# 安装 FreeIPA
sudo ipa-server-install
A saída do comando acima é semelhante a esta:
Configurar serviço DNS integrado
Do you want to configure integrated DNS (BIND)? [no]:
,digitaryes
Configurar nome de host do servidor
Configurar nome de domínio
Campos de configuração (todas em maiúsculas)
7. Configure a conta e senha do administrador ipa
Os servidores FreeIPA estão 安装期间创建
em 用户组
:
- administradores
- ipausers
- administradores de confiança
Aviso: não exclua o grupo admin porque ele contém o usuário admin padrão. O servidor FreeIPA requer que o grupo admin funcione corretamente.
Digite e confirme 目录服务器超级用户
a FreeIPA admin 用户
soma 密码
. 目录服务器超级用户
Mapeia para 目录
cn=Directory Manager.
Conjunto 目录服务器超级用户
de senha
Defina IPA服务器管理用户
a senha para "admin"
Aceite os valores padrão para NETBIOS域名
e配置时间
Depois de inserir " " na janela acima yes
, levará algum tempo para configurar seu servidor FreeIPA. Assim que a configuração for bem-sucedida, obteremos a seguinte saída: A
saída acima confirma que o FreeIPA foi instalado com sucesso.
8. Visite o portal de gerenciamento FreeIPA
Execute o seguinte comando ipactl para verificar se todos os serviços FreeIPA estão em execução:
# 显示 FreeIPA 服务的当前状态--必须以root运行
sudo ipactl status
## 回显
Directory Service: RUNNING
krb5kdc Service: RUNNING
kadmin Service: RUNNING
named Service: RUNNING
httpd Service: RUNNING
ipa-custodia Service: RUNNING
pki-tomcatd Service: RUNNING
ipa-otpd Service: RUNNING
ipa-dnskeysyncd Service: RUNNING
ipa: INFO: The ipactl command was successful
Vamos usar o comando kinit para verificar se o usuário administrador receberá um token via Kerberos, usando a mesma senha de usuário administrador que fornecemos durante a instalação do FreeIPA.
# 获取ipa管理员凭证
sudo kinit admin
# 查看当前已获取的ipa管理员凭证信息
sudo klist
Saída do comando acima:
Perfeito, a saída acima confirma que o administrador obteve o token. Agora, tente acessar o console web do FreeIPA, digite o seguinte URL em seu navegador:
https://ipa.linuxtechi.lan/ipa/ui
ou
https://<Server-IPAddress>/ipa/ui
用户名 admin
Use o e que especificamos durante a instalação 密码
.
Para o console web FreeIPA, use um certificado SSL autoassinado, é por isso que vemos esta janela, então clique em “Aceite o risco e continue Accept the Risk and Continue
”.
Após inserir suas credenciais, clique em Login.
Isso confirma que configuramos com sucesso o FreeIPA no RHEL8.
gerenciamento de usuários ipa
gerenciamento de grupo de usuários ipa
# 创建用户组ops
ipa group-add ops
# 获取FreeIPA服务器上所有现有用户组的列表
ipa group-find
gerenciamento de usuários ipa
# 将用户ops添加到opsadmin组中
ipa group-add-member ops --users=opsadmin
# 获取FreeIPA服务器上所有现有用户的列表
ipa user-find