Redhat / centos / almalinux

Cara Menginstal dan Mengkonfigurasi Freeipa di Red Hat Linux

Cara Menginstal dan Mengkonfigurasi Freeipa di Red Hat Linux

Objektif

Tujuan kami adalah untuk menginstal dan mengonfigurasi server freeipa mandiri di red hat enterprise linux.

Sistem Operasi dan Versi Perangkat Lunak

  • Sistem operasi: Red Hat Enterprise Linux 7.5
  • Perangkat lunak: Freeipa 4.5.4-10

Persyaratan

Akses istimewa ke server target, repositori perangkat lunak yang tersedia.

Kesulitan

SEDANG

Konvensi

  • # - mensyaratkan perintah linux yang diberikan untuk dieksekusi dengan hak istimewa root baik secara langsung sebagai pengguna root atau dengan menggunakan sudo memerintah
  • $ - Diberikan perintah linux untuk dieksekusi sebagai pengguna biasa

Perkenalan

Freeipa terutama merupakan layanan direktori, di mana Anda dapat menyimpan informasi tentang pengguna Anda, dan haknya tentang login, menjadi root, atau hanya menjalankan perintah tertentu sebagai root pada sistem Anda yang bergabung dengan domain freeipa Anda, dan banyak lagi. Meskipun ini adalah fitur utama dari layanan ini, ada komponen opsional yang bisa sangat berguna, seperti DNS dan PKI - ini menjadikan Freeipa bagian infrastruktur penting dari sistem berbasis Linux. Ini memiliki GUI berbasis web yang bagus, dan antarmuka baris perintah yang kuat.

Dalam tutorial ini kita akan melihat cara menginstal dan mengonfigurasi server freeipa mandiri pada red hat enterprise linux 7.5. Namun, perhatikan bahwa dalam sistem produksi Anda disarankan untuk membuat setidaknya satu replika lagi untuk memberikan ketersediaan tinggi. Kami akan menjadi tuan rumah layanan pada mesin virtual dengan 2 inti CPU dan 2 GB RAM - pada sistem besar Anda mungkin ingin menambahkan beberapa sumber daya lagi. Mesin lab kami menjalankan rhel 7.5, instalasi dasar. Ayo Memulai.

Untuk menginstal dan mengonfigurasi server freeipa cukup mudah - gotcha dalam perencanaan. Anda harus memikirkan bagian mana dari tumpukan perangkat lunak yang ingin Anda gunakan, dan lingkungan apa yang ingin Anda jalankan layanan ini. Karena freeipa dapat menangani DNS, jika Anda membangun sistem dari awal, mungkin berguna memberikan seluruh domain DNS ke Freeipa, di mana semua mesin klien akan memanggil server freeipa untuk DNS. Domain ini bisa menjadi subdomain infrastruktur Anda, Anda bahkan dapat mengatur subdomain hanya untuk server freeipa - tetapi pikirkan palung ini dengan hati -hati, karena Anda tidak dapat mengubah domain nanti. Jangan gunakan domain yang ada, Freeipa perlu berpikir itu adalah master dari domain yang diberikan (pemasang akan memeriksa apakah domain dapat diselesaikan, dan jika memiliki catatan SOA selain itu sendiri).

PKI adalah pertanyaan lain: Jika Anda sudah memiliki CA (Otoritas Sertifikat) di sistem Anda, Anda mungkin ingin mengatur freeipa sebagai bawahan CA. Dengan bantuan certmonger, Freeipa memiliki kemampuan untuk secara otomatis memperbarui sertifikat klien (seperti sertifikat SSL server web), yang dapat berguna - tetapi jika sistem tidak memiliki layanan yang menghadap ke internet, Anda mungkin tidak memerlukan layanan PKI Freeipa Freeipa sama sekali. Itu semua tergantung pada kasus penggunaan.

Dalam tutorial ini perencanaan sudah selesai. Kami ingin membangun laboratorium pengujian baru, jadi kami akan menginstal dan mengkonfigurasi semua fitur freeipa, termasuk DNS dan PKI dengan sertifikat CA yang ditandatangani sendiri. Freeipa dapat menghasilkan ini untuk kami, tidak perlu membuat satu dengan alat seperti openssl.

Persyaratan

Apa yang harus diatur terlebih dahulu adalah sumber NTP yang andal untuk server (freeipa akan bertindak sebagai server NTP juga, tetapi membutuhkan sumber secara alami), dan entri di server /etc/host File menunjuk pada dirinya sendiri:

# kucing /etc /host 127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4 :: 1 localhost localhost.localdomain localhost6 localhost6.localdomain6 192.168.122.147 RHEL7.IPA.LinuxConfig.org rhel7
Menyalin

Dan nama host yang disediakan dalam file host harus menjadi fqdn mesin.

# Hostname rhel7.IPA.LinuxConfig.org
Menyalin

Ini adalah langkah penting, jangan lewatkan. Nama host yang sama diperlukan dalam file jaringan:

# grep hostname/etc/sysconfig/network hostname = rhel7.IPA.LinuxConfig.org
Menyalin

Memasang paket

Perangkat lunak yang dibutuhkan disertakan dalam gambar ISO atau saluran berlangganan Linux Red Hat Enterprise Linux, tidak ada repositori tambahan yang diperlukan. Dalam demo ini ada set repositori lokal yang memiliki isi gambar ISO. Tumpukan perangkat lunak dibundel bersama, jadi satu perintah yum akan lakukan:

# YUM Instal IPA-Server IPA-Server-DNS
Menyalin

Pada pemasangan dasar, YUM akan memberikan daftar panjang dependensi, termasuk Apache Tomcat, Apache HTTPD, 389-DS (server LDAP), dan sebagainya. Setelah yum selesai, buka port yang dibutuhkan di firewall:

# firewall-cmd --add-service = freeipa-ldap sukses # firewall-cmd --add-service = freeipa-ldap --smanent kesuksesan
Menyalin

Mempersiapkan

Sekarang mari kita atur server freeipa baru kami. Ini akan memakan waktu, tetapi Anda hanya perlu untuk bagian pertama, ketika penginstal meminta parameter. Sebagian besar parameter dapat diteruskan sebagai argumen ke penginstal, tetapi kami tidak akan memberikannya, dengan cara ini kami dapat memperoleh manfaat dari pengaturan sebelumnya.

# IPA-server-instalasi file log untuk instalasi ini dapat ditemukan di/var/log/ipaserver-instal.log ==================================================== ============================== Program ini akan mengatur server IPA. Ini termasuk: * Mengkonfigurasi CA yang berdiri sendiri (dogtag) untuk manajemen sertifikat * Mengkonfigurasi Daemon Waktu Jaringan (NTPD) * Buat dan konfigurasikan contoh server direktori * Buat dan konfigurasikan Pusat Distribusi Kunci Kerberos (KDC) * Konfigurasikan Apache ( httpd) * Mengkonfigurasi KDC untuk mengaktifkan pkinit untuk menerima default yang ditampilkan di braket, tekan tombol Enter. Peringatan: Layanan Sinkronisasi Waktu & Tanggal yang Bertentangan 'Chronyd' akan dinonaktifkan demi NTPD ## Kami akan menggunakan server DNS terintegrasi Apakah Anda ingin mengonfigurasi DNS terintegrasi (BIND)? [Tidak]: Ya Masukkan nama domain yang sepenuhnya memenuhi syarat dari komputer tempat Anda menyiapkan perangkat lunak server. Menggunakan formulir . Contoh: Master.contoh.com. ## Menekan 'Enter' berarti kami menerima default di gelang ## ini adalah alasan kami mengatur FDQN yang tepat untuk host Nama host server [rhel7.IPA.LinuxConfig.org]: Peringatan: Melewatkan Resolusi DNS Host Rhel7.IPA.LinuxConfig.org Nama domain telah ditentukan berdasarkan nama host. ## Sekarang kita tidak perlu mengetik/menempel nama domain ## dan penginstal tidak perlu mencoba mengatur nama host Harap konfirmasi nama domain [IPA.LinuxConfig.org]: Protokol Kerberos membutuhkan nama ranah untuk didefinisikan. Ini biasanya nama domain dikonversi menjadi huruf besar. ## Ranah Kerberos dipetakan dari nama domain Harap berikan nama ranah [IPA.LinuxConfig.Org]: Operasi server direktori tertentu memerlukan pengguna administratif. Pengguna ini disebut sebagai Manajer Direktori dan memiliki akses penuh ke Direktori untuk Tugas Manajemen Sistem dan akan ditambahkan ke contoh server direktori yang dibuat untuk IPA. Kata sandi harus setidaknya 8 karakter. Pengguna ## Direktori Manajer adalah untuk operasi tingkat rendah, seperti membuat replika Kata sandi Manajer Direktori: ## Gunakan kata sandi yang sangat kuat di lingkungan produksi! Kata Sandi (Konfirmasi): Server IPA membutuhkan pengguna administratif, bernama 'admin'. Pengguna ini adalah akun sistem reguler yang digunakan untuk administrasi server IPA. ## Admin adalah "root" dari sistem freeipa - tetapi bukan direktori LDAP Kata Sandi Admin IPA: Kata Sandi (Konfirmasi): Memeriksa DNS Domain IPA.LinuxConfig.org., Harap tunggu… ## Kami bisa mengatur forwarder, tetapi ini dapat ditetapkan nanti juga Apakah Anda ingin mengkonfigurasi DNS Forwarder? [Ya]: Tidak Tidak DNS Forwarders Dikonfigurasi Apakah Anda ingin mencari zona terbalik yang hilang? [Ya]: Tidak, server master IPA akan dikonfigurasi dengan: hostname: rhel7.IPA.LinuxConfig.org Alamat IP: 192.168.122.147 Nama Domain: IPA.LinuxConfig.NAMA REAL ORG: IPA.LinuxConfig.Org Bind DNS Server akan dikonfigurasi untuk melayani domain IPA dengan: Forwarders: No Forwarders Forward Policy: Hanya zona terbalik: Tidak ada zona terbalik yang terus mengonfigurasi sistem dengan nilai -nilai ini? [Tidak iya ## Pada titik ini penginstal akan bekerja sendiri, ## dan menyelesaikan prosesnya dalam beberapa menit. Waktu yang tepat untuk kopi. Operasi berikut mungkin membutuhkan waktu beberapa menit untuk diselesaikan. Harap tunggu sampai prompt dikembalikan. Mengkonfigurasi Daemon NTP (NTPD) [1/4]: Menghentikan NTPD…

Output penginstal agak panjang, Anda dapat melihat karena semua komponen dikonfigurasi, dimulai ulang, dan diverifikasi. Di akhir output, ada beberapa langkah yang diperlukan untuk fungsionalitas penuh, tetapi tidak untuk proses instalasi itu sendiri.

… Perintah instalasi IPA-klien berhasil ========================================= ======================================= Persiapan Lengkap Langkah Selanjutnya: 1. Anda harus memastikan port jaringan ini terbuka: port TCP: * 80, 443: http/https * 389, 636: ldap/ldaps * 88, 464: Kerberos * 53: Bind UDP Port: * 88, 464: Kerberos * 53 : Bind * 123: NTP 2. Anda sekarang dapat memperoleh tiket Kerberos menggunakan perintah: 'Kinit Admin' Tiket ini akan memungkinkan Anda untuk menggunakan alat IPA (e.G., IPA User-Add) dan antarmuka pengguna web. Pastikan untuk mencadangkan sertifikat CA yang disimpan di /root /cacert.p12 File -file ini diperlukan untuk membuat replika. Kata sandi untuk file -file ini adalah kata sandi Manajer Direktori

Seperti yang ditunjukkan oleh pemasang, pastikan untuk mencadangkan CA CERT, dan buka port tambahan yang diperlukan di firewall.

Sekarang mari kita aktifkan pembuatan direktori home di login:

# authconfig --enablemkhomedir -update

Verifikasi

Kami dapat mulai menguji jika kami memiliki tumpukan layanan kerja. Mari kita uji jika kita bisa mendapatkan tiket Kerberos untuk pengguna admin (dengan kata sandi yang diberikan kepada pengguna admin selama instal):

# Kinit Admin Kata Sandi untuk [email protected]: # Klist Ticket Cache: Keyring: Persisten: 0: 0 Kepala Sekolah Default: [email protected] yang valid mulai berakhirnya kepala layanan 2018-06-24 21.44.30 2018-06-25 21.44.28 Krbtgt/[email protected]

Mesin host terdaftar ke dalam domain baru kami, dan aturan default memberikan akses SSH ke pengguna admin yang dibuat di atas untuk semua host yang terdaftar. Mari kita uji jika aturan ini berfungsi seperti yang diharapkan dengan membuka koneksi SSH ke localhost:

# ssh admin@localhost kata sandi: Membuat direktori home untuk admin. Login Terakhir: Sun 24 Jun 21:41:57 2018 dari LocalHost $ PWD /HOME /ADMIN $ EXIT

Mari kita periksa status seluruh tumpukan perangkat lunak:

# IPACTL Status Direktori Layanan: Menjalankan Layanan KRB5KDC: Menjalankan Kadmin Layanan: Menjalankan Layanan Dinamai: Menjalankan Layanan HTTPD: Menjalankan Layanan IPA-Custodia: Menjalankan NTPD Layanan: Menjalankan Layanan PKI-TOMCATD: Menjalankan Layanan IPA-OTPD: Layanan IPA-DNSKEYSYNCD: Menjalankan IPA: Info: Perintah IPACTL berhasil
Menyalin

Dan - dengan tiket Kerberos yang diperoleh sebelumnya - mintalah informasi tentang pengguna admin menggunakan alat CLI:

# IPA User-Find Admin -------------- 1 Pengguna yang cocok -------------- Pengguna Login: Admin Nama Belakang: Administrator Home Directory: /Home /Admin Login Shell: /Bin /Bash Prinsipal Alias: [email protected] uid: 630200000 GID: 630200000 Akun Dinonaktifkan: Salah ---------------------------- Jumlah entri yang dikembalikan 1 ----------------------------
Menyalin

Dan akhirnya, login ke halaman manajemen berbasis web menggunakan kredensial pengguna admin (mesin yang menjalankan browser harus dapat menyelesaikan nama server freeipa). Gunakan https, server akan mengarahkan kembali jika http biasa digunakan. Saat kami memasang sertifikat root yang ditandatangani sendiri, browser akan memperingatkan kami tentang hal itu.

Halaman login freeipa wui

Halaman default setelah login menunjukkan daftar pengguna kami, di mana sekarang hanya pengguna admin muncul.

Halaman default setelah login adalah daftar pengguna di freeipa wui

Dengan ini kami menyelesaikan tujuan kami, kami memiliki server freeipa yang berjalan siap untuk diisi dengan pengguna, host, sertifikat, dan berbagai aturan.

Tutorial Linux Terkait:

  • Hal -hal yang harus diinstal pada ubuntu 20.04
  • Hal -hal yang harus dilakukan setelah menginstal ubuntu 20.04 FOSSA FOSSA Linux
  • Pengantar Otomatisasi Linux, Alat dan Teknik
  • Unduh Linux
  • File Konfigurasi Linux: 30 Teratas Paling Penting
  • Can Linux mendapatkan virus? Menjelajahi kerentanan Linux…
  • Hal -hal yang harus diinstal pada Ubuntu 22.04
  • Hal -hal yang harus dilakukan setelah menginstal ubuntu 22.04 Jammy Jellyfish…
  • Distro linux terbaik untuk pengembang
  • Mint 20: Lebih baik dari Ubuntu dan Microsoft Windows?