FreeIPA là giải pháp quản lý danh tính miễn phí và mã nguồn mở cho hệ điều hành Linux/Unix. Đây là dự án thượng nguồn từ RedHat Identity Management System, cung cấp các giải pháp xác thực và ủy quyền cho hệ thống Linux/Unix.
FreeIPA được xây dựng trên nhiều thành phần, bao gồm Directory Server, DNS, Kerberos, PKI, Certmonger, NTP Server, giao diện người dùng quản trị web, v.v. Nó cung cấp nguồn thông tin xác thực người dùng và kiểm soát truy cập tập trung. Sử dụng FreeIPA cho phép người quản trị dễ dàng quản lý danh tính trong môi trường tập trung và cũng cung cấp khả năng giám sát người dùng, xác thực và kiểm soát truy cập.
Trong hướng dẫn này, chúng tôi sẽ chỉ cho bạn cách cài đặt trình quản lý Danh tính FreeIPA trên máy chủ Rocky Linux.
Để thiết lập FQDN của máy chủ, hãy chạy lệnh bên dưới. Trong ví dụ này, chúng tôi sử dụng FQDN ipa.howtoforge.local.
Bây giờ hãy chỉnh sửa tệp /etc/hosts bằng trình soạn thảo nano.
Nhập chi tiết địa chỉ IP của máy chủ và FQDN của máy chủ như bên dưới.
Lưu tệp bằng cách nhấn Ctrl+x và nhập Y để xác nhận và lưu tệp.
Tiếp theo, chạy lệnh sau để xác minh FQDN của máy chủ Rocky Linux của bạn.
Bạn sẽ nhận được đầu ra của FQDN của máy chủ như ipa.howtoforge.local.
Cuối cùng, chạy lệnh ping bên dưới để xác minh FQDN được phân giải thành địa chỉ IP máy chủ chính xác.
Trong ảnh chụp màn hình bên dưới, FQDN ipa.howtoforge.local đã được phân giải và có thể truy cập được trên địa chỉ IP 192.168.10.25.
Chuyển sang bước tiếp theo để bắt đầu cài đặt FreeIPA.
Trên hệ thống Rocky Linux, tất cả các gói liên quan đến FreeIPA đều có sẵn trên mô-đun idm
L1. Bạn phải bật mô-đun idmL1 để có thể cài đặt các gói FreeIPA.
Chạy lệnh sau để bật mô-đun idmL1 trên hệ thống Rocky Linux của bạn.
Nhập Y để xác nhận và bật mô-đun.
Tiếp theo, cài đặt các gói FreeIPA bằng lệnh dnf bên dưới. ipa-server là gói chính của FreeIPA, và ipa-server-dns là một gói bổ sung cho FreeIPA cung cấp chức năng máy chủ DNS.
Đợi toàn bộ gói cài đặt, thời gian cài đặt sẽ tùy thuộc vào kết nối máy chủ của bạn.
Khi toàn bộ quá trình cài đặt hoàn tất, hãy chuyển sang bước tiếp theo để bắt đầu cấu hình máy chủ FreeIPA.
Trước khi cấu hình máy chủ FreeIPA, hãy đảm bảo IPv6 trên máy chủ của bạn đã được bật và kích hoạt. Máy chủ FreeIPA sẽ tự động phát hiện lỗi khi IPv6 được bật trên không gian hạt nhân nhưng không khả dụng trên ngăn xếp mạng.
Kiểm tra địa chỉ IP máy chủ của bạn để xác minh IPv6 có khả dụng trên giao diện mạng của bạn không.
Trong ảnh chụp màn hình bên dưới, bạn sẽ thấy inet6 trên đầu ra, điều đó có nghĩa là IPv6 khả dụng trên giao diện mạng cục bộ và bạn đã sẵn sàng thiết lập máy chủ FreeIPA.
Tiếp theo, hãy chạy lệnh ipa-server-install bên dưới để bắt đầu cấu hình máy chủ FreeIPA.
Đầu tiên, bạn sẽ được hiển thị thông tin cơ bản về những gì bạn sẽ làm để thiết lập máy chủ FreeIPA.
Máy chủ FreeIPA sẽ tự động phát hiện FQDN của máy chủ và sử dụng nó làm tên máy chủ mặc định. Nhấn ENTER để xác nhận và tiếp tục.
Bây giờ bạn sẽ cần thiết lập tên miền cho máy chủ FreeIPA của mình. Tên miền này sẽ tự động được phát hiện, dựa trên FQDN của máy chủ. Trong ví dụ này, FQDN của máy chủ là ipa.howtoforge.local, vì vậy tên miền phải là howtoforge.local.
Nhấn ENTER để xác nhận và tiếp tục.
Bây giờ bạn sẽ cần thiết lập tên miền REALM để xác thực Kerberos. Trong hầu hết các trường hợp, nó giống như tên miền FreeIPA, nhưng viết hoa.
Nhập mật khẩu mới cho máy chủ thư mục. mật khẩu phải có ít nhất 8 ký tự, vì vậy hãy đảm bảo sử dụng mật khẩu mạnh cho trình quản lý thư mục.
Bây giờ hãy nhập một mật khẩu khác cho người dùng quản trị IPA. Người dùng này sẽ được sử dụng để đăng nhập vào máy chủ FreeIPA hoặc xác thực với Kerberos với tư cách là người dùng quản trị. Hãy đảm bảo sử dụng mật khẩu mạnh cho người dùng quản trị IPA của bạn.
Ở bước tiếp theo, bạn sẽ được yêu cầu thiết lập trình chuyển tiếp DNS. Nhấn ENTER để tiếp tục và FreeIPA sẽ tự động phát hiện tệp /etc/resolv.conf hiện tại làm trình chuyển tiếp DNS.
Bây giờ bạn sẽ được yêu cầu tạo một vùng đảo ngược cho địa chỉ IP máy chủ FreeIPA của bạn. Nhấn ENTER để tiếp tục và FreeIPA sẽ tự động tạo một vùng đảo ngược mới cho địa chỉ IP máy chủ của bạn.
Đối với cấu hình NTP, hãy để mặc định và nhấn ENTER để không.
Bây giờ bạn sẽ được yêu cầu xác nhận cài đặt và cấu hình máy chủ FreeIPA. Kiểm tra lại cấu hình chi tiết của máy chủ FreeIPA, sau đó nhập yes và nhấn ENTER để xác nhận cài đặt và cấu hình.
Bây giờ quá trình cài đặt và cấu hình FreeIPA sẽ bắt đầu.
Sau khi cài đặt và cấu hình FreeIPA, bạn sẽ thấy thông báo đầu ra sau.
Trong thông báo đầu ra bên dưới, bạn cũng sẽ được thông báo về bước tiếp theo để thiết lập Tường lửa cho máy chủ FreeIPA. Bạn sẽ cần mở một số cổng cho máy chủ FreeIPA, sau đó xác minh xác thực bằng người dùng quản trị với máy chủ Kerberos.
Bây giờ bạn đã hoàn tất quá trình cài đặt và cấu hình máy chủ FreeIPA.
Chạy lệnh firewall-cmd bên dưới để thêm một số dịch vụ cho máy chủ FreeIPA vào Firewalld.
Sau đó, tải lại các quy tắc Firewalld bằng lệnh bên dưới.
Cuối cùng, xác minh danh sách các quy tắc của Firewalld bằng lệnh bên dưới.
Trong ảnh chụp màn hình bên dưới, bạn sẽ thấy tất cả các dịch vụ cho máy chủ FreeIPA được thêm vào Firewalld.
Chạy lệnh bên dưới để xác thực với máy chủ Kerberos bằng người dùng quản trị.
Bây giờ bạn sẽ được nhắc nhập mật khẩu của máy chủ IPA. Nhập đúng mật khẩu.
Sau khi xác thực thành công, hãy chạy lệnh bên dưới để xác minh danh sách các phiếu Kerberos trên máy chủ của bạn.
Trong ảnh chụp màn hình bên dưới, phiếu Kerberos mới cho người dùng quản trị đã khả dụng và xác thực với máy chủ Kerberos đã thành công.
Mở trình duyệt web của bạn và truy cập địa chỉ IP máy chủ hoặc FQDN của bạn như bên dưới. Bây giờ bạn sẽ thấy trang đăng nhập FreeIPA.
https://ipa.howtoforge.local/ipa/ui/
Nhập tên người dùng và mật khẩu quản trị viên FreeIPA, sau đó nhấp vào nút Đăng nhập.
Sau khi đăng nhập, bạn sẽ thấy bảng điều khiển quản trị FreeIPA bên dưới.
FreeIPA được xây dựng trên nhiều thành phần, bao gồm Directory Server, DNS, Kerberos, PKI, Certmonger, NTP Server, giao diện người dùng quản trị web, v.v. Nó cung cấp nguồn thông tin xác thực người dùng và kiểm soát truy cập tập trung. Sử dụng FreeIPA cho phép người quản trị dễ dàng quản lý danh tính trong môi trường tập trung và cũng cung cấp khả năng giám sát người dùng, xác thực và kiểm soát truy cập.
Trong hướng dẫn này, chúng tôi sẽ chỉ cho bạn cách cài đặt trình quản lý Danh tính FreeIPA trên máy chủ Rocky Linux.
Điều kiện tiên quyết
- Máy chủ Linux Rock Linux 8.5.
- Người dùng không phải root có quyền quản trị viên sudo.
Thiết lập FQDN
Đầu tiên, bạn sẽ thiết lập FQDN (Tên miền đủ điều kiện) và tệp /etc/hosts của máy chủ Rocky Linux.Để thiết lập FQDN của máy chủ, hãy chạy lệnh bên dưới. Trong ví dụ này, chúng tôi sử dụng FQDN ipa.howtoforge.local.
Mã:
sudo hostnamectl set-hostname ipa.howtoforge.local
Mã:
sudo nano /etc/hosts
Mã:
192.168.10.25 ipa.howtoforge.local ipaTiếp theo, chạy lệnh sau để xác minh FQDN của máy chủ Rocky Linux của bạn.
Mã:
hostname -fCuối cùng, chạy lệnh ping bên dưới để xác minh FQDN được phân giải thành địa chỉ IP máy chủ chính xác.
Mã:
ping -c3 ipa.howtoforge.localChuyển sang bước tiếp theo để bắt đầu cài đặt FreeIPA.
Cài đặt các gói máy chủ FreeIPA
Nếu bạn đã hoàn tất cấu hình tệp FQDN và /etc/hosts, bây giờ bạn sẽ cài đặt các gói FreeIPA vào hệ thống Rocky Linux.Trên hệ thống Rocky Linux, tất cả các gói liên quan đến FreeIPA đều có sẵn trên mô-đun idm
L1. Bạn phải bật mô-đun idmL1 để có thể cài đặt các gói FreeIPA.Chạy lệnh sau để bật mô-đun idm
L1 trên hệ thống Rocky Linux của bạn.
Mã:
sudo dnf module enable idm:DL1Tiếp theo, cài đặt các gói FreeIPA bằng lệnh dnf bên dưới. ipa-server là gói chính của FreeIPA, và ipa-server-dns là một gói bổ sung cho FreeIPA cung cấp chức năng máy chủ DNS.
Mã:
sudo dnf install ipa-server ipa-server-dns -yKhi toàn bộ quá trình cài đặt hoàn tất, hãy chuyển sang bước tiếp theo để bắt đầu cấu hình máy chủ FreeIPA.
Cấu hình máy chủ FreeIPA
Bây giờ bạn sẽ thiết lập máy chủ FreeIPA trên hệ thống Rocky Linux.Trước khi cấu hình máy chủ FreeIPA, hãy đảm bảo IPv6 trên máy chủ của bạn đã được bật và kích hoạt. Máy chủ FreeIPA sẽ tự động phát hiện lỗi khi IPv6 được bật trên không gian hạt nhân nhưng không khả dụng trên ngăn xếp mạng.
Kiểm tra địa chỉ IP máy chủ của bạn để xác minh IPv6 có khả dụng trên giao diện mạng của bạn không.
Mã:
sudo ip aTiếp theo, hãy chạy lệnh ipa-server-install bên dưới để bắt đầu cấu hình máy chủ FreeIPA.
Mã:
sudo ipa-server-install --setup-dns --allow-zone-overlap
Mã:
Bạn có thể tìm thấy tệp nhật ký cho cài đặt này trong /var/log/ipaserver-install.log
= ... PKINIT
Mã:
Để chấp nhận mặc định được hiển thị trong ngoặc, hãy nhấn phím Enter.
Nhập tên miền đủ điều kiện của máy tính
mà bạn đang thiết lập phần mềm máy chủ. Sử dụng biểu mẫu
.
Ví dụ: master.example.com.
Tên máy chủ [ipa.howtoforge.local]:Nhấn ENTER để xác nhận và tiếp tục.
Mã:
Cảnh báo: bỏ qua phân giải DNS của máy chủ ipa.howtoforge.local
Tên miền đã được xác định dựa trên tên máy chủ.
Vui lòng xác nhận tên miền [howtoforge.local]:
Mã:
Giao thức kerberos yêu cầu phải xác định tên Realm.
Thông thường, đây là tên miền được chuyển đổi thành chữ hoa.
Vui lòng cung cấp tên miền [HWDOMAIN.IO]:
Mã:
Một số hoạt động của máy chủ thư mục yêu cầu người dùng quản trị.
Người dùng này được gọi là Trình quản lý thư mục và có toàn quyền truy cập
vào Thư mục để thực hiện các tác vụ quản lý hệ thống và sẽ được thêm vào
phiên bản máy chủ thư mục được tạo cho IPA.
Mật khẩu phải có ít nhất 8 ký tự.
Mật khẩu Trình quản lý thư mục:
Mật khẩu (xác nhận):
Mã:
Máy chủ IPA yêu cầu một người dùng quản trị, có tên là 'admin'.
Người dùng này là tài khoản hệ thống thông thường được sử dụng để quản trị máy chủ IPA.
Mật khẩu quản trị IPA:
Mật khẩu (xác nhận):
Mã:
Đang kiểm tra tên miền DNS howtoforge.local., vui lòng đợi ...
Bạn có muốn định cấu hình trình chuyển tiếp DNS không? [có]: có
Các máy chủ DNS sau được định cấu hình trong /etc/resolv.conf: 192.168.121.1
Bạn có muốn định cấu hình các máy chủ này làm trình chuyển tiếp DNS không? [có]:
Mã:
Bạn có muốn tìm kiếm các vùng đảo ngược bị thiếu không? [yes]:
Bạn có muốn tạo vùng đảo ngược cho IP 192.168.10.25 không [yes]:
Vui lòng chỉ định tên vùng đảo ngược [10.168.192.in-addr.arpa.]:
Sử dụng vùng đảo ngược 10.168.192.in-addr.arpa.
Đã cấu hình Trust nhưng không tìm thấy tên miền NetBIOS, đang thiết lập.
Nhập tên NetBIOS cho miền IPA.
Chỉ cho phép tối đa 15 chữ cái ASCII viết hoa, chữ số và dấu gạch ngang.
Ví dụ: EXAMPLE.
Tên miền NetBIOS [HWDOMAIN]:
Mã:
Bạn có muốn cấu hình chrony với máy chủ NTP hoặc địa chỉ nhóm không? [no]:
Mã:
Máy chủ chính IPA sẽ được cấu hình với:
Tên máy chủ: ipa.howtoforge.local
Địa chỉ IP: 192.168.10.25
Tên miền: howtoforge.local
Tên miền: HWDOMAIN.IO
CA sẽ được cấu hình với:
DN chủ thể: CN=Cơ quan cấp chứng chỉ,O=HWDOMAIN.IO
Cơ sở chủ thể: O=HWDOMAIN.IO
Chuỗi: tự ký
Máy chủ DNS BIND sẽ được cấu hình để phục vụ miền IPA với:
Người chuyển tiếp: 192.168.121.1
Chính sách chuyển tiếp: chỉ
Vùng ngược: 10.168.192.in-addr.arpa.
Tiếp tục cấu hình hệ thống với các giá trị này? [no]: yes
Mã:
Các thao tác sau có thể mất vài phút để hoàn tất.
Vui lòng đợi cho đến khi lời nhắc được trả về.
Đã tắt p11-kit-proxy
Đang đồng bộ hóa thời gian
Không tìm thấy bản ghi SRV nào của máy chủ NTP và không cung cấp địa chỉ máy chủ NTP hoặc nhóm nào.
Sử dụng cấu hình chrony mặc định.
Đang cố gắng đồng bộ hóa thời gian với chronyc.
Đồng bộ hóa thời gian thành công.
Đang định cấu hình máy chủ thư mục (dirsrv). Thời gian ước tính: 30 giây
[1/41]: tạo phiên bản máy chủ thư mục
[2/41]: điều chỉnh plugin ldbm
[3/41]: thêm lược đồ mặc định
[4/41]: kích hoạt plugin memberofTrong thông báo đầu ra bên dưới, bạn cũng sẽ được thông báo về bước tiếp theo để thiết lập Tường lửa cho máy chủ FreeIPA. Bạn sẽ cần mở một số cổng cho máy chủ FreeIPA, sau đó xác minh xác thực bằng người dùng quản trị với máy chủ Kerberos.
Mã:
=========================================================================================================
Hoàn tất thiết lập
Các bước tiếp theo:
1. Bạn phải đảm bảo các cổng mạng này đang mở:
Cổng TCP:
* 80, 443: HTTP/HTTPS
* 389, 636: LDAP/LDAPS
* 88, 464: kerberos
* 53: bind
Cổng UDP:
* 88, 464: kerberos
* 53: bind
* 123: ntp
2. Bây giờ bạn có thể lấy vé Kerberos bằng lệnh: 'kinit admin'
Vé này sẽ cho phép bạn sử dụng các công cụ IPA (ví dụ: ipa user-add)
và giao diện người dùng web.
Hãy đảm bảo sao lưu các chứng chỉ CA được lưu trữ trong /root/cacert.p12
Những tệp này là bắt buộc để tạo bản sao. Mật khẩu cho các tệp này
là mật khẩu của Directory Manager
Lệnh ipa-server-install đã thành côngThiết lập Firewalld
Trong bước này, bạn sẽ thêm một số dịch vụ vào các quy tắc Firewalld. Điều này bao gồm các dịch vụ cơ bản cho máy chủ FreeIPA như LDAP, DNS và HTTPS.Chạy lệnh firewall-cmd bên dưới để thêm một số dịch vụ cho máy chủ FreeIPA vào Firewalld.
Mã:
sudo firewall-cmd --add-service={http,https,dns,ntp,freeipa-ldap,freeipa-ldaps} --permanent
Mã:
sudo firewall-cmd --reload
Mã:
sudo firewall-cmd --list-allXác minh Kerberos Admin Xác thực
Sau khi thiết lập Firewalld, bây giờ bạn sẽ xác minh xác thực với Kerberos trên máy chủ FreeIPA của mình.Chạy lệnh bên dưới để xác thực với máy chủ Kerberos bằng người dùng quản trị.
Mã:
kinit adminSau khi xác thực thành công, hãy chạy lệnh bên dưới để xác minh danh sách các phiếu Kerberos trên máy chủ của bạn.
Mã:
klistĐăng nhập vào Bảng điều khiển FreeIPA
Trong bước này, bạn sẽ xác minh cài đặt FreeIPA bằng cách đăng nhập vào bảng điều khiển quản trị web FreeIPA.Mở trình duyệt web của bạn và truy cập địa chỉ IP máy chủ hoặc FQDN của bạn như bên dưới. Bây giờ bạn sẽ thấy trang đăng nhập FreeIPA.
https://ipa.howtoforge.local/ipa/ui/
Nhập tên người dùng và mật khẩu quản trị viên FreeIPA, sau đó nhấp vào nút Đăng nhập.
Sau khi đăng nhập, bạn sẽ thấy bảng điều khiển quản trị FreeIPA bên dưới.