Cách cài đặt FreeIPA Server với Docker trên Debian 12

[theanh]

FreeIPA là giải pháp quản lý danh tính nguồn mở cho hệ điều hành Linux/Unix. Đây là dự án thượng nguồn từ RedHat Identity Management System, cung cấp các giải pháp xác thực và ủy quyền cho hệ thống Linux/Unix.

FreeIPA được xây dựng trên nhiều thành phần, bao gồm Directory Server, DNS, Kerberos, PKI, Certmonger, NTP Server, giao diện người dùng quản trị web, v.v. Nó cung cấp nguồn thông tin xác thực người dùng và kiểm soát truy cập tập trung. Sử dụng FreeIPA cho phép quản trị viên quản lý danh tính trong môi trường tập trung một cách dễ dàng và cũng cung cấp khả năng giám sát người dùng, xác thực và kiểm soát truy cập.

Trong hướng dẫn này, bạn sẽ cài đặt và thiết lập máy chủ FreeIPA trên máy Debian 12 thông qua Docker. Bạn sẽ cài đặt Docker CE (Phiên bản cộng đồng), xây dựng hình ảnh Docker FreeIPA Server, cài đặt FreeIPA Server, sau đó bạn sẽ tìm hiểu cách quản lý cơ bản máy chủ FreeIPA. Ngoài ra, bạn cũng sẽ học cách thêm máy khách Linux làm máy khách FreeIPA vào máy chủ FreeIPA chạy như một vùng chứa Docker.

Điều kiện tiên quyết​

Đối với hướng dẫn này, bạn sẽ cần một máy chủ Linux chạy Debian 12 hoặc Debian 11 với bộ nhớ tối thiểu là 4 GB. Bạn cũng sẽ cần một người dùng root hoặc người dùng không phải root có quyền quản trị viên. Đối với máy khách, bạn có thể sử dụng bất kỳ bản phân phối Linux nào, nhưng đối với ví dụ này, bạn sẽ sử dụng Ubuntu làm máy khách FreeIPA.

Thiết lập FQDN và Múi giờ​

Trước khi cài đặt Docker và FreeIPA, trước tiên bạn phải đảm bảo rằng mình có fqdn (tên miền đủ điều kiện) phù hợp, tệp '/etc/hosts' chính xác và múi giờ phù hợp. Trong bước đầu tiên này, bạn sẽ thiết lập fqdn, tệp /etc.hosts và múi giờ trên máy chủ Debian của mình.

Để bắt đầu, hãy thiết lập fqdn của máy chủ FreeIPA bằng cách nhập lệnh sau.

sudo hostnamectl set-hostname ipa.hwdomain.lan

Bây giờ hãy mở tệp '/etc/hosts' bằng trình chỉnh sửa nano sau lệnh.

sudo nano /etc/hosts

Thêm thông tin chi tiết về địa chỉ IP, fqdn và tên máy chủ của hệ thống của bạn.

192.168.5.10 ipa.hwdomain.lan ipa

Lưu và đóng tệp khi hoàn tất.

Bây giờ hãy nhập lệnh sau để xác minh fqdn của hệ thống và đảm bảo rằng fqdn được trỏ đến đúng địa chỉ IP nội bộ.

sudo hostname -f
sudo ping -c3 ipa.hwdomain.lan

Tiếp theo, nhập lệnh sau để thiết lập múi giờ trên hệ thống của bạn. Hãy đảm bảo thay đổi múi giờ trong lệnh sau theo múi giờ máy chủ của bạn.

sudo timedatectl set-timezone Europe/Stockholm

Nhập lệnh sau để thiết lập giờ địa phương cho hệ thống của bạn.

sudo unlink /etc/localtime
sudo ln -s /usr/share/timezone/Europe/Stockholm /etc/localtime

Bây giờ hãy chuyển sang bước tiếp theo để bắt đầu cài đặt Docker CE.

Cài đặt Docker CE​

FreeIPA Server có thể được cài đặt theo nhiều cách, đối với các bản phân phối dựa trên Debian, bạn có thể sử dụng Docker. Trong phần này, bạn sẽ cài đặt Docker CE (Community Edition) thông qua kho lưu trữ Docker chính thức, sau đó bạn cũng sẽ thiết lập người dùng của mình để cho phép thực thi và chạy các container Docker.

Trước tiên, hãy nhập lệnh apt sau để cài đặt các phụ thuộc cơ bản. Khi được nhắc, hãy nhập y để xác nhận và nhấn ENTER để tiếp tục.

sudo apt install ca-certificates \
 curl \
 gnupg \
 git \
 lsb-release

data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22685%22%20height=%22315%22%3E%3C/svg%3E


Tiếp theo, thêm và tải xuống khóa GPG của Docker CE kho lưu trữ.

sudo mkdir -m 0755 -p /etc/apt/keyrings
curl -fsSL https://download.docker.com/linux/ubuntu/gpg | sudo gpg --dearmor -o /etc/apt/keyrings/docker.gpg

Sau khi khóa GPG được thêm vào, hãy nhập lệnh sau để thêm kho lưu trữ Docker CE.

echo \
 "deb [arch=$(dpkg --print-architecture) signed-by=/etc/apt/keyrings/docker.gpg] https://download.docker.com/linux/ubuntu \
 $(lsb_release -cs) stable" | sudo tee /etc/apt/sources.list.d/docker.list > /dev/null

data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22104%22%3E%3C/svg%3E


Bây giờ hãy chạy lệnh 'apt update' bên dưới để cập nhật và làm mới chỉ mục gói Debian của bạn.

sudo apt update

Sau đó, cài đặt các gói Docker CE bằng cách nhập lệnh 'apt install' bên dưới. Nhập y để xác nhận khi được nhắc và nhấn ENTER để tiếp tục.

sudo apt install docker-ce docker-ce-cli containerd.io docker-buildx-plugin docker-compose-plugin

data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22242%22%3E%3C/svg%3E


Sau khi cài đặt Docker CE, nó cũng tự động chạy và được bật. thực hiện lệnh 'systemctl' bên dưới để xác minh dịch vụ Docker.

sudo systemctl is-enabled docker
sudo systemctl status docker

Bạn sẽ thấy đầu ra 'enabled', nghĩa là dịch vụ Docker sẽ tự động chạy khi hệ thống khởi động. Đầu ra 'active (running)' xác nhận rằng dịch vụ Docker hiện tại đang chạy.


data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22268%22%3E%3C/svg%3E


Cuối cùng, nếu bạn định chạy ứng dụng Docker của mình thông qua người dùng không phải root, thì bạn phải thêm người dùng của mình vào nhóm 'docker'. Nhập lệnh sau để thêm người dùng của bạn vào nhóm 'docker'. Trong ví dụ này, bạn sẽ thêm người dùng 'bob' vào nhóm 'docker'.

sudo usermod -aG docker bob

Bây giờ hãy đăng nhập với tư cách là người dùng 'bob' và nhập lệnh docker bên dưới để chạy vùng chứa 'hello-world'. nếu thành công, bạn sẽ thấy thông báo chào mừng từ container được in ra trên màn hình thiết bị đầu cuối của bạn.

su - bob
docker run hello-world

data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22748%22%20height=%22693%22%3E%3C/svg%3E


Với điều này, bây giờ bạn đã thực thi và chạy thành công container Docker với tư cách là người dùng không phải root với tên người dùng là 'bob'. Đối với phần còn lại của hướng dẫn này, bạn sẽ thực hiện các lệnh trong người dùng 'bob'.

Xây dựng hình ảnh Docker FreeIPA​

Trong phần này, bạn sẽ xây dựng hình ảnh Docker cho máy chủ FreeIPA. Để thực hiện việc đó, bạn có thể dễ dàng tải xuống kho lưu trữ vùng chứa FreeIPA từ trang GitHub chính thức của FreeIPA. Sau đó, bạn có thể chọn bất kỳ bản phân phối Linux nào cho hình ảnh cơ sở.

Đầu tiên, hãy cài đặt 'git' vào máy chủ Debian của bạn thông qua lệnh apt bên dưới. Khi được nhắc, hãy nhập y để xác nhận, sau đó nhấn ENTER.

sudo apt install git

data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22604%22%20height=%22196%22%3E%3C/svg%3E


Bây giờ hãy chạy lệnh git sau để tải kho lưu trữ 'freeipa-container' xuống hệ thống của bạn. Sau đó, di chuyển thư mục làm việc của bạn vào đó.

git clone https://github.com/freeipa/freeipa-container.git
cd freeipa-container

data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22674%22%20height=%22242%22%3E%3C/svg%3E


Bây giờ hãy chạy lệnh 'ls' bên dưới để xác minh danh sách các tệp và thư mục trên kho lưu trữ 'freeipa-container'. Bạn sẽ thấy nhiều tệp Dockerfile mà bạn có thể sử dụng để thiết lập máy chủ FreeIPA trên hệ thống Debian của mình.

ls

data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22238%22%3E%3C/svg%3E


Tiếp theo, nhập lệnh sau để xây dựng hình ảnh Docker máy chủ FreeIPA mới. Trong ví dụ này, bạn sẽ tạo một hình ảnh Docker máy chủ FreeIPA dựa trên 'AlmaLinux 9' và sẽ được gọi là 'freeipa-almalinux9'.

docker build -t freeipa-almalinux9 -f Dockerfile.almalinux-9 .

Sau khi lệnh 'docker build' được thực thi, bạn sẽ thấy quy trình xây dựng hình ảnh Docker cho máy chủ FreeIPA.


data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22218%22%3E%3C/svg%3E


Khi quá trình hoàn tất, bạn sẽ thấy đầu ra như 'naming to .../.../freeipa-almalinux9'.


data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22279%22%3E%3C/svg%3E


Chạy lệnh sau để xác minh danh sách của hình ảnh Docker có sẵn trên hệ thống của bạn. Bạn sẽ thấy hình ảnh Docker có tên 'freeipa-almalinux9' được tạo và có sẵn trên hệ thống của bạn.

docker images

data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22680%22%20height=%22151%22%3E%3C/svg%3E


Sau khi tạo hình ảnh Docker FreeIPA, bạn sẽ cài đặt máy chủ FreeIPA và cấu hình thông qua Docker.

Tạo FreeIPA Server Container​

Trong phần này, bạn sẽ cài đặt và cấu hình máy chủ FreeIPA thông qua vùng chứa Docker. Bạn sẽ chạy một vùng chứa mới với ảnh cơ sở 'freeipa-almalinux9' mà bạn đã tạo, sau đó bạn sẽ bắt đầu cấu hình máy chủ FreeIPA. Sau khi cấu hình hoàn tất, tiếp theo bạn sẽ thiết lập ánh xạ cổng của vùng chứa máy chủ FreeIPA tới máy chủ lưu trữ Docker.

Trước tiên, hãy nhập lệnh sau để tạo thư mục dữ liệu mới '/var/lib/freeipa-data'. Thư mục này sẽ được sử dụng làm thư mục dữ liệu máy chủ FreeIPA.

sudo mkdir -p /var/lib/freeipa-data

Bây giờ hãy chạy lệnh 'docker run' sau để tạo và chạy vùng chứa máy chủ FreeIPA. Trong ví dụ này, bạn sẽ tạo một container FreeIPA mới có tên là 'freeipa-server-almalinux9' và lưu trữ dữ liệu máy chủ FreeIPA vào máy chủ lưu trữ trên thư mục '/var/lib/freeipa-data'.

docker run --name freeipa-server-almalinux9 -ti \
 -h ipa.hwdomain.lan --read-only --sysctl net.ipv6.conf.all.disable_ipv6=0 \
 -v /sys/fs/cgroup:/sys/fs/cgroup:ro \
 -v /var/lib/freeipa-data:/data:Z freeipa-almalinux9

Trong quá trình cài đặt, bạn sẽ được yêu cầu cung cấp một số cấu hình của máy chủ FreeIPA.


data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22243%22%3E%3C/svg%3E


Khi được yêu cầu thiết lập DNS tích hợp thông qua BIND, hãy nhấn ENTER hoặc nhập số.


data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22350%22%3E%3C/svg%3E


Bây giờ hãy nhập tên máy chủ, tên miền và REALM cho máy chủ FreeIPA của bạn.


data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22676%22%20height=%22356%22%3E%3C/svg%3E


Bây giờ hãy nhập mật khẩu mới và lặp lại cho người quản lý Thư mục và người dùng quản trị IPA.


data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22698%22%20height=%22335%22%3E%3C/svg%3E


Đối với tên NetBIOS, hãy để nguyên mặc định và nhấn ENTER. Đối với cấu hình NTP, nhập no hoặc chỉ cần nhấn ENTER.


data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22675%22%20height=%22215%22%3E%3C/svg%3E


Bây giờ hãy kiểm tra và xác minh cấu hình cài đặt máy chủ FreeIPA của bạn. Khi hoàn tất, hãy nhập 'yes' và nhấn ENTER để xác nhận. Với điều này, cấu hình máy chủ FreeIPA sẽ chạy và mất một thời gian.


data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22661%22%20height=%22327%22%3E%3C/svg%3E


Khi cấu hình máy chủ FreeIPA hoàn tất, bạn sẽ nhận được thông báo như 'Thiết lập hoàn tất' và hướng dẫn cho các bước tiếp theo.


data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22489%22%3E%3C/svg%3E


Bây giờ hãy mở một phiên thiết bị đầu cuối mới và kết nối với máy chủ Debian của bạn. Sau đó, đăng nhập với tư cách là người dùng 'bob' và nhập lệnh docker sau để xác minh vùng chứa đang chạy trên hệ thống của bạn.

docker ps

Bạn sẽ thấy vùng chứa có tên 'freeipa-server-almalinux9' có trạng thái 'Đang hoạt động'.


data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%2262%22%3E%3C/svg%3E


Lúc này, máy chủ FreeIPA đang chạy với dữ liệu hiện được lưu trữ trong thư mục '/var/lib/freeipa-data'. Ở bước tiếp theo, bạn phải thêm ánh xạ cổng cho máy chủ FreeIPA.

Nhập lệnh sau để dừng vùng chứa 'freeipa-server-almalinux9' và xóa nó. Thao tác này sẽ xóa vùng chứa, nhưng không xóa thư mục dữ liệu '/var/lib/freeipa-data'.

docker stop freeipa-server-almalinux9
docker rm freeipa-server-almalinux9

Sau đó, chạy lệnh sau để tạo vùng chứa mới có ánh xạ cổng cho máy chủ FreeIPA. Thao tác này sẽ tạo phiên bản mới của vùng chứa 'freeipa-server-almalinux9' với các cổng cụ thể ánh xạ tới máy chủ lưu trữ và sử dụng cùng dữ liệu với máy chủ FreeIPA trước đó.

docker run --name freeipa-server-almalinux9 -ti \
 -h ipa.hwdomain.lan -p 53:53/udp -p 53:53 -p 80:80 -p 443:443 -p 389:389 -p 636:636 -p 88:88 -p 464:464 -p 88:88/udp -p 464:464/udp -p 123:123/udp \
 --read-only --sysctl net.ipv6.conf.all.disable_ipv6=0 \
 -v /sys/fs/cgroup:/sys/fs/cgroup:ro \
 -v /var/lib/freeipa-data:/data:Z freeipa-almalinux9

Di chuyển lại đến phiên thiết bị đầu cuối khác và chạy lệnh sau để dừng và khởi động lại vùng chứa 'freeipa-server-almalinux9'. Điều này sẽ đảm bảo rằng container 'freeipa-server-almalinux9' đang chạy ở chế độ nền.

docker stop freeipa-server-almalinux9
docker start freeipa-server-almalinux9

Kiểm tra lại danh sách các container đang chạy trên hệ thống của bạn, bạn sẽ thấy container 'freeipa-server-almalinux9' đang chạy với các cổng mới được ánh xạ tới máy chủ.

docker ps

data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%2283%22%3E%3C/svg%3E


Với điều này, việc triển khai Máy chủ FreeIPA qua Docker đã hoàn tất. Máy chủ FreeIPA của bạn hiện có thể truy cập được từ máy khách và bạn cũng đã cấu hình mật khẩu quản trị viên cho cả quản trị viên IPA và Trình quản lý thư mục.

Xác thực với Máy chủ FreeIPA​

Sau khi cài đặt máy chủ FreeIPA qua Docker, bây giờ bạn sẽ xác minh cài đặt bằng cách xác thực với máy chủ Kerberos FreeIPA từ máy chủ lưu trữ Docker. Để thực hiện điều đó, bạn phải đảm bảo rằng tên miền của máy chủ FreeIPA được trỏ đến đúng máy chủ và bạn phải cài đặt tiện ích máy khách Kerberos.

Trước khi bắt đầu, hãy mở tệp '/etc/hosts' trên hệ thống Debian của bạn bằng lệnh trình chỉnh sửa nano sau.

sudo nano /etc/hosts

Thêm các dòng sau vào tệp và đảm bảo thay đổi địa chỉ IP và tên miền bằng Máy chủ FreeIPA của bạn máy chủ.

192.168.5.10 ipa.hwdomain.lan

Lưu và đóng tệp khi bạn hoàn tất.

Tiếp theo, cài đặt gói 'krb5-user' vào hệ thống của bạn thông qua lệnh apt bên dưới. Thao tác này sẽ cài đặt một số tiện ích Kerberos có thể được sử dụng để kết nối với máy chủ FreeIPA của bạn.

sudo apt install krb5-user

Nhập y khi được nhắc và nhấn ENTER để tiếp tục.


data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22311%22%3E%3C/svg%3E


Khi được yêu cầu cấu hình REALM mặc định, hãy nhập REALm cho máy chủ FreeIPA của bạn - Trong ví dụ này, REALM là 'HWDOMAIN.LAN'.


data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22115%22%3E%3C/svg%3E


Đối với máy chủ Kerberos, hãy nhập tên miền của máy chủ FreeIPA của bạn như 'ipa.hwdomain.lan'.


data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22197%22%3E%3C/svg%3E


Sử dụng cùng một giá trị cho máy chủ quản trị cho miền Kerberos - 'ipa.hwdomain.lan'.


data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22185%22%3E%3C/svg%3E


Bây giờ quá trình cài đặt sẽ hoàn tất và các thiết lập mới sẽ được tạo tại Tệp '/etc/krb5.conf'.

Với các tiện ích Kerberos đã cài đặt, hãy nhập lệnh sau để kiểm tra xác thực với máy chủ Kerberos đang chạy dưới dạng vùng chứa Docker. Khi được nhắc, hãy nhập mật khẩu quản trị viên cho máy chủ FreeIPA của bạn.

kinit admin

Nhập lệnh sau để xác minh xác thực của bạn với máy chủ Kerberos. Khi thành công, bạn sẽ nhận được thông tin chi tiết về vé xác thực Kerberos của mình.

klist

data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22707%22%20height=%22258%22%3E%3C/svg%3E


Cuối cùng, bạn cũng có thể truy cập bảng điều khiển quản trị web của máy chủ FreeIPA. Hãy đảm bảo rằng tên miền của máy chủ FreeIPA đã được thêm vào tệp '/etc/hosts' trên máy cục bộ của bạn.

Mở trình duyệt web và truy cập tên miền của máy chủ FreeIPA (ví dụ: https://ipa.hwdomain.lan/). Khi thành công, bạn sẽ thấy trang đăng nhập máy chủ FreeIPA.

Nhập tên người dùng admin và mật khẩu của bạn, sau đó nhấp vào Đăng nhập.


data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22605%22%3E%3C/svg%3E


Khi xác thực thành công, bạn sẽ thấy bảng điều khiển quản trị web của máy chủ FreeIPA.


data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22239%22%3E%3C/svg%3E

Thêm người dùng và nhóm FreeIPA thông qua lệnh Linux​

Có nhiều phương pháp khác nhau để quản lý máy chủ FreeIPA chạy dưới dạng vùng chứa Docker, bạn có thể quản lý thông qua bảng điều khiển quản trị web hoặc quản lý thư mục từ vùng chứa máy chủ FreeIPA. Trong phần này, bạn sẽ quản lý người dùng và nhóm FreeIPA thông qua tiện ích lệnh 'ipa' từ vùng chứa máy chủ FreeIPA.

Đầu tiên, nhập lệnh sau để đăng nhập vào vùng chứa 'freeipa-server-almalinux9'.

docker exec -it freeipa-server-almalinux9 /bin/bash

Sau khi đăng nhập, hãy xác thực bản thân với máy chủ Kerberos thông qua người dùng 'admin'. Sau đó, xác minh thông tin chi tiết về vé Kerberos. Khi được nhắc nhập mật khẩu, hãy nhập mật khẩu cho Trình quản lý thư mục của bạn.

kinit admin
klist

data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22706%22%20height=%22272%22%3E%3C/svg%3E


Sau khi được xác thực với Kerberos, bây giờ bạn có thể bắt đầu cấu hình máy chủ FreeIPA.

Nhập lệnh 'ipa config-mod' sau để thiết lập shell mặc định cho người dùng FreeIPA thành '/bin/bash'.

ipa config-mod --defaultshell=/bin/bash

Bạn sẽ thấy chi tiết về cấu hình người dùng cho máy chủ FreeIPA.


data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22712%22%20height=%22492%22%3E%3C/svg%3E


Tiếp theo, nhập lệnh sau để tạo người dùng FreeIPA mới có tên là 'ubuntu'. Ngoài ra, hãy nhập mật khẩu mới khi được nhắc và lặp lại.

ipa user-add ubuntu --first=Ubuntu --last=Linux --password

Sau khi thêm, bạn sẽ nhận được đầu ra như 'Đã thêm người dùng "ubuntu"'.


data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22704%22%20height=%22551%22%3E%3C/svg%3E


Bây giờ hãy nhập lệnh sau để tìm người dùng 'ubuntu' trên máy chủ FreeIPA của bạn. Khi người dùng khả dụng, bạn sẽ nhận được đầu ra như '1 người dùng phù hợp'. Ngoài ra, bạn có thể xem thông tin chi tiết về người dùng 'ubuntu'.

ipa user-find ubuntu

data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22412%22%20height=%22414%22%3E%3C/svg%3E


Bạn cũng có thể lấy thông tin chi tiết về người dùng có sẵn trên FreIPA bằng cách nhập lệnh sau lệnh.

ipa user-show --raw ubuntu

Dưới đây là kết quả tương tự mà bạn sẽ nhận được.


data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22423%22%20height=%22331%22%3E%3C/svg%3E


Tiếp theo, tạo một nhóm mới 'development' bằng lệnh 'ipa group-add' và xác minh nhóm để đảm bảo rằng nhóm mới được thêm vào và có sẵn.

ipa group-add --desc='Development Team' development
ipa group-find development

data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22644%22%20height=%22409%22%3E%3C/svg%3E


Bây giờ hãy chạy lệnh 'ipa group-add-member' sau để thêm người dùng FreeIPA 'ubuntu' vào nhóm 'phát triển'.

ipa group-add-member --user=ubuntu development

Xác minh chi tiết của nhóm 'phát triển' bằng lệnh sau. Bạn sẽ thấy người dùng 'ubuntu' được thêm vào nhóm 'development'.

ipa group-show development

data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22581%22%20height=%22186%22%3E%3C/svg%3E

Thêm máy chủ vào FreeIPA Máy chủ​

FreeIPA cung cấp cách dễ nhất để thêm máy chủ mới vào máy chủ FreeIPA, có thể thực hiện thông qua gói máy khách FreeIPA cung cấp tiện ích 'ipa-client-install'. Trong phần này, bạn sẽ thêm máy Ubuntu vào máy chủ FreeIPA 'ipa.hwdomain.lan' chạy dưới dạng vùng chứa.

Dưới đây là các bước bạn phải thực hiện để thêm máy chủ mới vào máy chủ FreeIPA:

• Thiết lập FQDN và Múi giờ của máy khách
• Cài đặt các gói máy khách FreeIPA
• Xác minh máy khách FreeIPA

Bây giờ, hãy bắt đầu thêm máy Ubuntu vào vùng chứa Docker của máy chủ FreeIPA.

Thiết lập FQDN và Múi giờ​

Trước tiên, hãy đăng nhập vào máy khách của bạn và thiết lập fqdn bằng cách sử dụng lệnh sau lệnh.

sudo hostnamectl set-hostname client01.hwdomain.lan

Bây giờ hãy mở tệp cấu hình '/etc/hosts' bằng lệnh trình chỉnh sửa nano sau.

sudo nano /etc/hosts

Thêm các dòng sau vào tệp và đảm bảo thay đổi thông tin chi tiết về địa chỉ IP, fqdn và hostname.

192.168.5.10 ipa.hwdomain.lan ipa
192.168.5.121 client01.hwdomain.lan client01

Lưu tệp khi bạn hoàn tất.

Bây giờ hãy nhập lệnh sau để đảm bảo rằng fqdn của máy khách được trỏ đến đúng địa chỉ IP và tên miền của máy chủ FreeIPA cũng được trỏ đến đúng địa chỉ IP.

ping -c3 ipa.hwdomain.lan
ping -c3 client01.hwdomain.lan

data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22474%22%3E%3C/svg%3E


Tiếp theo, nhập lệnh sau để thiết lập múi giờ cho máy khách của bạn.

sudo timedatectl set-timezone Europe/Stockholm

Cuối cùng, nhập lệnh sau để thiết lập tệp '/etc/localtime' theo đúng cài đặt múi giờ.

sudo unlink /etc/localtime
sudo ln -s /usr/share/timezone/Europe/Stockholm /etc/localtime

Cài đặt FreeIPA Client​

Đầu tiên, hãy cập nhật và làm mới chỉ mục gói Ubuntu của bạn thông qua lệnh apt bên dưới.

sudo apt update

Bây giờ hãy cài đặt gói máy khách FreeIPA bằng lệnh sau. Khi được nhắc, hãy nhập y để xác nhận và nhấn ENTER để tiếp tục.

sudo apt install freeipa-client oddjob-mkhomedir

data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22390%22%3E%3C/svg%3E


Khi được nhắc nhập tên miền REALM mặc định, hãy nhập tên miền chính của bạn như 'HWDOMAIN.LAN'.


data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22112%22%3E%3C/svg%3E


Nhập tên miền miền Kerberos với tên miền máy chủ FreeIPA 'ipa.hwdomain.lan'.


data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22205%22%3E%3C/svg%3E


Cuối cùng, nhập lại tên miền của máy chủ FreeIPA 'ipa.hwdomain.lan' làm máy chủ quản trị cho máy chủ Kerberos.


data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22184%22%3E%3C/svg%3E


Sau khi FreeIPA gói máy khách đã được cài đặt, hãy chạy lệnh sau 'ipa-client-install' để thêm máy khách vào máy chủ FreeIPA. Hãy chắc chắn thay đổi thông tin chi tiết về tên miền và miền của máy chủ FreeIPA.

ipa-client-install --hostname=`hostname -f` \
--mkhomedir \
--server=ipa.hwdomain.lan \
--domain hwdomain.lan \
--realm HWDOMAIN.LAN

Khi được yêu cầu sử dụng cấu hình cố định, hãy nhập yes để xác nhận và nhấn ENTER. Đối với máy chủ NTP, hãy để mặc định là no. Cuối cùng, nhập yes một lần nữa để xác nhận cài đặt.


data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22384%22%3E%3C/svg%3E


Dưới đây là đầu ra trong quá trình cài đặt và cấu hình.


data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22632%22%20height=%22368%22%3E%3C/svg%3E


Sau khi hoàn tất, đầu ra như ' Lệnh ipa-client-install đã thành công' sẽ được nhắc đến màn hình thiết bị đầu cuối của bạn.


data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22591%22%20height=%22359%22%3E%3C/svg%3E

Xác minh máy khách FreeIPA của Hosts​

Từ máy chủ FreeIPA, nhập lệnh sau để kết nối với máy khách '192.168.5.121' bằng người dùng FreeIPA 'ubuntu'. Khi được nhắc, hãy nhập yes để xác nhận và thêm dấu vân tay SSH của máy khách, sau đó nhập mật khẩu cho người dùng FreeIPA 'ubuntu'.

ssh [emailprotected]

Sau khi đăng nhập, bạn sẽ được yêu cầu thay đổi mật khẩu hiện tại mặc định. Vì vậy, hãy nhập mật khẩu hiện tại và nhập mật khẩu mới rồi lặp lại.


data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22430%22%3E%3C/svg%3E


Cuối cùng, hãy nhập lệnh sau để xác định người dùng hiện tại của bạn. Bạn sẽ thấy rằng bạn đã đăng nhập vào máy khách thông qua người dùng 'ubuntu', cũng là một phần của nhóm 'development'.

id
whoami

data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22130%22%3E%3C/svg%3E

Kết luận​

Trong Trong hướng dẫn này, bạn đã học cách cài đặt và triển khai máy chủ FreeIPA thông qua Docker trên máy chủ Debian 12. Bạn cũng đã học cách sử dụng cơ bản lệnh 'ipa' để tạo và quản lý người dùng và nhóm FreeIPA và cũng đã học cách lấy vé Kerberos thông qua lệnh kinit và đăng nhập vào quản trị web FreeIPA thông qua tên người dùng và mật khẩu quản trị viên.

Cuối cùng, bạn cũng đã thêm một máy khách Ubuntu vào máy chủ FreeIPA thông qua gói máy khách FreeIPA. Bạn đã học từng bước cách thực hiện và cũng đã xác minh cài đặt của mình bằng cách đăng nhập vào máy khách thông qua người dùng FreeIPA.

Với điều này, giờ đây bạn có thể thêm nhiều máy chủ, người dùng và nhóm hơn vào máy chủ FreeIPA của mình. Bạn cũng có thể tích hợp FreeIPA vào sản xuất của mình. Để biết thông tin chi tiết, hãy truy cập tài liệu chính thức của FreeIPA.