Поиск по сайту:

Как установить FreeIPA на Rocky Linux


На этой странице

  1. Предпосылки
  2. Настройка полного доменного имени
  3. Установка серверных пакетов FreeIPA
  4. Настройка сервера FreeIPA
  5. Настройка брандмауэра
  6. Проверка аутентификации администратора Kerberos
  7. Вход в панель инструментов FreeIPA
  8. Заключение

FreeIPA — это бесплатное решение для управления идентификацией с открытым исходным кодом для операционных систем Linux/Unix. Это восходящий проект системы управления идентификацией RedHat, который предоставляет решения для аутентификации и авторизации для систем Linux/Unix.

FreeIPA построен на основе нескольких компонентов, включая сервер каталогов, DNS, Kerberos, PKI, Certmonger, сервер NTP, пользовательский интерфейс веб-администрирования и т. д. Он обеспечивает централизованный источник учетных данных пользователей и контроль доступа. Использование FreeIPA позволяет администраторам легко управлять идентификацией в централизованной среде, а также обеспечивает мониторинг пользователей, аутентификацию и контроль доступа.

В этом руководстве мы покажем вам, как установить менеджер идентификации FreeIPA на сервер Rocky Linux.

Предпосылки

  • Сервер Linux Rock Linux 8.5.
  • Пользователь без полномочий root с правами администратора sudo.

Настройка полного доменного имени

Сначала вы будете настраивать FQDN (полное доменное имя) и файл /etc/hosts вашего сервера Rocky Linux.

Чтобы настроить полное доменное имя сервера, выполните приведенную ниже команду. В этом примере мы используем полное доменное имя ipa.hwdomain.io.

sudo hostnamectl set-hostname ipa.hwdomain.io

Теперь отредактируйте файл /etc/hosts с помощью редактора nano.

sudo nano /etc/hosts

Введите сведения об IP-адресе сервера и полном доменном имени сервера, как показано ниже.

192.168.10.25 ipa.hwdomain.io ipa

Сохраните файл, нажав Ctrl+x и введите Y, чтобы подтвердить и сохранить файл.

Затем выполните следующую команду, чтобы проверить полное доменное имя вашего сервера Rocky Linux.

hostname -f

Вы должны получить вывод полного доменного имени сервера, такого как ipa.hwdomain.io.

Наконец, запустите команду ping ниже, чтобы убедиться, что полное доменное имя разрешено для правильного IP-адреса сервера.

ping -c3 ipa.hwdomain.io

На приведенном ниже снимке экрана полное доменное имя ipa.hwdomain.io разрешено и доступно по IP-адресу 192.168.10.25.

Перейдите к следующему шагу, чтобы начать установку FreeIPA.

Установка пакетов сервера FreeIPA

Если вы выполнили настройку полного доменного имени и файла /etc/hosts, теперь вы будете устанавливать пакеты FreeIPA в систему Rocky Linux.

В системе Rocky Linux все пакеты, относящиеся к FreeIPA, доступны в модуле idm:DL1. Вы должны включить модуль idm:DL1, чтобы иметь возможность устанавливать пакеты FreeIPA.

Выполните следующую команду, чтобы включить модуль idm:DL1 в вашей системе Rocky Linux.

sudo dnf module enable idm:DL1

Введите Y, чтобы подтвердить и включить модуль.

Затем установите пакеты FreeIPA с помощью приведенной ниже команды dnf. ipa-server — это основной пакет FreeIPA, а ipa-server-dns — это дополнительный пакет для FreeIPA, обеспечивающий функциональность DNS-сервера.

sudo dnf install ipa-server ipa-server-dns -y

Дождитесь установки всех пакетов, это займет время в зависимости от вашего подключения к серверу.

Когда вся установка будет завершена, перейдите к следующему шагу, чтобы начать настройку сервера FreeIPA.

Настройка сервера FreeIPA

Теперь вы будете настраивать сервер FreeIPA в системе Rocky Linux.

Перед настройкой сервера FreeIPA убедитесь, что IPv6 на вашем сервере включен и активирован. сервер FreeIPA автоматически обнаружит ошибку, когда IPv6 включен в пространстве ядра, но недоступен в сетевом стеке.

Проверьте IP-адрес вашего сервера, чтобы убедиться, что IPv6 доступен на вашем сетевом интерфейсе.

sudo ip a

На приведенном ниже снимке экрана вы увидите inet6 на выходе, что означает, что IPv6 доступен на локальном сетевом интерфейсе, и вы готовы настроить сервер FreeIPA.

Затем выполните приведенную ниже команду ipa-server-install, чтобы начать настройку сервера FreeIPA.

sudo ipa-server-install --setup-dns --allow-zone-overlap

Сначала вам будет показана основная информация о том, что вы будете делать для настройки сервера FreeIPA.

The log file for this installation can be found in /var/log/ipaserver-install.log
==============================================================================
This program will set up the IPA Server.
Version 4.9.6

This includes:
  * Configure a stand-alone CA (dogtag) for certificate management
  * Configure the NTP client (chronyd)
  * Create and configure an instance of Directory Server
  * Create and configure a Kerberos Key Distribution Center (KDC)
  * Configure Apache (httpd)
  * Configure DNS (bind)
  * Configure SID generation
  * Configure the KDC to enable PKINIT

Сервер FreeIPA автоматически обнаружит полное доменное имя сервера и будет использовать его в качестве имени хоста сервера по умолчанию. Нажмите ENTER для подтверждения и продолжения.

To accept the default shown in brackets, press the Enter key.

Enter the fully qualified domain name of the computer
on which you're setting up server software. Using the form
<hostname>.<domainname>
Example: master.example.com.


Server host name [ipa.hwdomain.io]:

Теперь вам нужно настроить доменное имя для вашего сервера FreeIPA. Это будет автоматически обнаружено на основе полного доменного имени сервера. В этом примере полное доменное имя сервера — ipa.hwdomain.io, поэтому доменное имя должно быть hwdomain.io.

Нажмите ENTER для подтверждения и продолжения.

Warning: skipping DNS resolution of host ipa.hwdomain.io
The domain name has been determined based on the host name.

Please confirm the domain name [hwdomain.io]:

Теперь вам нужно настроить доменное имя REALM для аутентификации Kerberos. В большинстве случаев это то же самое, что и доменное имя FreeIPA, но в верхнем регистре.

The kerberos protocol requires a Realm name to be defined.
This is typically the domain name converted to uppercase.

Please provide a realm name [HWDOMAIN.IO]:

Введите новый пароль для сервера каталогов. пароль должен быть не менее 8 символов, поэтому обязательно используйте надежный пароль для менеджера каталогов.

Certain directory server operations require an administrative user.
This user is referred to as the Directory Manager and has full access
to the Directory for system management tasks and will be added to the
instance of directory server created for IPA.
The password must be at least 8 characters long.

Directory Manager password:
Password (confirm):

Теперь введите другой пароль для пользователя-администратора IPA. Этот пользователь будет использоваться для входа на сервер FreeIPA или аутентификации с помощью Kerberos в качестве пользователя-администратора. Обязательно используйте надежный пароль для администратора IPA.

The IPA server requires an administrative user, named 'admin'.
This user is a regular system account used for IPA server administration.

IPA admin password:
Password (confirm):

На следующем шаге вам будет предложено настроить сервер пересылки DNS. Нажмите ENTER, чтобы продолжить, и FreeIPA автоматически обнаружит текущий файл /etc/resolv.conf в качестве серверов пересылки DNS.

Checking DNS domain hwdomain.io., please wait ...
Do you want to configure DNS forwarders? [yes]: yes
Following DNS servers are configured in /etc/resolv.conf: 192.168.121.1
Do you want to configure these servers as DNS forwarders? [yes]:

Теперь вам будет предложено создать обратную зону для IP-адреса вашего сервера FreeIPA. Нажмите ENTER, чтобы продолжить, и FreeIPA автоматически создаст новую обратную зону для IP-адреса вашего сервера.

Do you want to search for missing reverse zones? [yes]: 
Do you want to create reverse zone for IP 192.168.10.25 [yes]:
Please specify the reverse zone name [10.168.192.in-addr.arpa.]:
Using reverse zone(s) 10.168.192.in-addr.arpa.
Trust is configured but no NetBIOS domain name found, setting it now.
Enter the NetBIOS name for the IPA domain.
Only up to 15 uppercase ASCII letters, digits and dashes are allowed.
Example: EXAMPLE.


NetBIOS domain name [HWDOMAIN]:

Для конфигурации NTP оставьте значение по умолчанию и нажмите ENTER для отказа.

Do you want to configure chrony with NTP server or pool address? [no]:

Теперь вам будет предложено подтвердить установку и настройку сервера FreeIPA. Еще раз проверьте подробные настройки сервера FreeIPA, затем введите yes и нажмите ENTER, чтобы подтвердить установку и настройку.

The IPA Master Server will be configured with:
Hostname:       ipa.hwdomain.io
IP address(es): 192.168.10.25
Domain name:    hwdomain.io
Realm name:     HWDOMAIN.IO

The CA will be configured with:
Subject DN:   CN=Certificate Authority,O=HWDOMAIN.IO
Subject base: O=HWDOMAIN.IO
Chaining:     self-signed

BIND DNS server will be configured to serve IPA domain with:
Forwarders:       192.168.121.1
Forward policy:   only
Reverse zone(s):  10.168.192.in-addr.arpa.

Continue to configure the system with these values? [no]: yes

Теперь начнется установка и настройка FreeIPA.

The following operations may take some minutes to complete.
Please wait until the prompt is returned.

Disabled p11-kit-proxy
Synchronizing time
No SRV records of NTP servers found and no NTP server or pool address was provided.
Using default chrony configuration.
Attempting to sync time with chronyc.
Time synchronization was successful.
Configuring directory server (dirsrv). Estimated time: 30 seconds
  [1/41]: creating directory server instance
  [2/41]: tune ldbm plugin
  [3/41]: adding default schema
  [4/41]: enabling memberof plugin

После установки и настройки FreeIPA вы увидите следующее выходное сообщение.

В приведенном ниже выходном сообщении вы также будете проинформированы о следующем шаге по настройке брандмауэра для сервера FreeIPA. Вам нужно будет открыть несколько портов для сервера FreeIPA, а затем проверить аутентификацию с помощью пользователя-администратора на сервере Kerberos.

==============================================================================
Setup complete

Next steps:
    1. You must make sure these network ports are open:
        TCP Ports:
          * 80, 443: HTTP/HTTPS
          * 389, 636: LDAP/LDAPS
          * 88, 464: kerberos
          * 53: bind
        UDP Ports:
          * 88, 464: kerberos
          * 53: bind
          * 123: ntp

    2. You can now obtain a Kerberos ticket using the command: 'kinit admin'
       This ticket will allow you to use the IPA tools (e.g., ipa user-add)
       and the web user interface.

Be sure to back up the CA certificates stored in /root/cacert.p12
These files are required to create replicas. The password for these
files is the Directory Manager password
The ipa-server-install command was successful

Теперь вы завершили установку и настройку сервера FreeIPA.

Настройка брандмауэра

На этом шаге вы добавите некоторые службы в правила Firewalld. Это включает в себя основные службы для сервера FreeIPA, такие как LDAP, DNS и HTTPS.

Запустите приведенную ниже команду firewall-cmd, чтобы добавить некоторые службы для сервера FreeIPA в файл Firewalld.

sudo firewall-cmd --add-service={http,https,dns,ntp,freeipa-ldap,freeipa-ldaps} --permanent

После этого перезагрузите правила Firewalld с помощью приведенной ниже команды.

sudo firewall-cmd --reload

Наконец, проверьте список правил брандмауэра с помощью приведенной ниже команды.

sudo firewall-cmd --list-all

На приведенном ниже снимке экрана вы увидите, что все службы для сервера FreeIPA добавлены в Firewalld.

Проверка аутентификации администратора Kerberos

После настройки Firewalld вы проверите аутентификацию с помощью Kerberos на вашем сервере FreeIPA.

Запустите приведенную ниже команду для аутентификации на сервере Kerberos с использованием пользователя-администратора.

kinit admin

Теперь вам будет предложено ввести пароль вашего сервера IPA. Введите правильный пароль.

После успешной аутентификации выполните приведенную ниже команду, чтобы проверить список билетов Kerberos на вашем сервере.

klist

На приведенном ниже снимке экрана доступен новый билет Kerberos для администратора пользователя, и аутентификация на сервере Kerberos прошла успешно.

Вход в панель инструментов FreeIPA

На этом этапе вы будете проверять установку FreeIPA, войдя в панель управления веб-администрирования FreeIPA.

Откройте веб-браузер и посетите IP-адрес или полное доменное имя вашего сервера, как показано ниже. Теперь вы увидите страницу входа в FreeIPA.

Введите имя пользователя и пароль администратора FreeIPA, затем нажмите кнопку «Войти».

После входа в систему вы увидите панель администрирования FreeIPA ниже.

Заключение

Поздравляем! Вы успешно установили и настроили FreeIPA в Rocky Linux. Кроме того, вы успешно прошли аутентификацию на сервере Kerberos с помощью пользователя-администратора IPA и вошли на сервер FreeIPA.