FreeIPA là giải pháp quản lý danh tính nguồn mở cho hệ điều hành Linux/Unix. Đây là dự án thượng nguồn từ RedHat Identity Management System, cung cấp các giải pháp xác thực và ủy quyền cho hệ thống Linux/Unix.
FreeIPA được xây dựng trên nhiều thành phần, bao gồm Directory Server, DNS, Kerberos, PKI, Certmonger, NTP Server, giao diện người dùng quản trị web, v.v. FreeIPA cung cấp nguồn thông tin xác thực người dùng và kiểm soát truy cập tập trung. FreeIPA cho phép quản trị viên quản lý danh tính trong môi trường tập trung một cách dễ dàng và cung cấp khả năng giám sát, xác thực và kiểm soát truy cập cho người dùng.
Trong hướng dẫn này, bạn sẽ cài đặt và thiết lập FreeIPA trên máy chủ Rocky Linux 9. Bạn sẽ cài đặt các gói máy chủ FreeIPA và thiết lập triển khai FreeIPA. Sau đó, bạn cũng sẽ thiết lập người dùng FreeIPA. Cuối cùng, bạn cũng sẽ học cách cài đặt và thiết lập máy khách FreeIPA trên máy chủ Rocky Linux và thêm nó vào máy chủ FreeIPA.
Trước khi bắt đầu, bạn phải đảm bảo rằng mình đã có các yêu cầu sau:
Khi các yêu cầu này đã sẵn sàng, giờ bạn có thể bắt đầu cài đặt FreeIPA.
Nhập lệnh 'hostnamectl' sau để thiết lập fqdn trên hệ thống của bạn. Trong ví dụ này, máy chủ FreeIPA phải có fqdn 'ipa.hwdomain.lan'.
Bây giờ hãy mở tệp '/etc/hosts' bằng lệnh trình chỉnh sửa nano sau.
Thêm dòng sau vào tệp và đảm bảo thay đổi tên máy chủ chi tiết, fqdn và Địa chỉ IP với máy chủ FreeIPA của bạn.
Lưu và đóng tệp khi hoàn tất.
Tiếp theo, nhập lệnh sau để xác minh fqdn của hệ thống. Sau đó, hãy đảm bảo rằng fqdn được phân giải thành địa chỉ IP nội bộ của bạn.
Khi thành công, bạn sẽ thấy fqdn được trỏ đến địa chỉ IP nội bộ của máy chủ. Trong ví dụ này, fqdn 'ipa.hwdomain.lan' được trỏ đến địa chỉ IP '192.168.5.25'.
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22727%22%20height=%22277%22%3E%3C/svg%3E
Bây giờ hãy nhập lệnh 'timedatectl' sau để thiết lập múi giờ mặc định cho máy chủ của bạn. Trong ví dụ này, thời gian cho máy chủ FreeIPA sẽ là 'Châu Âu/Stockholm'.
Bây giờ hãy nhập lệnh sau để thiết lập tệp '/etc/localtime' cho máy chủ của bạn theo đúng múi giờ. Danh sách các tệp múi giờ được lưu trữ tại thư mục '/usr/share/timezone/', bạn phải tạo liên kết tượng trưng của tệp múi giờ thích hợp tới '/etc/localtime'.
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22722%22%20height=%22185%22%3E%3C/svg%3E
Với fqdn và múi giờ đã được cấu hình, tiếp theo bạn sẽ thiết lập firewalld và mở một số cổng mà máy chủ FreeIPA sẽ sử dụng.
Nhập lệnh 'firewall-cmd' sau để thêm FreeIPA, DNS và NTP vào firewalld. Sau đó, tải lại firewalld để áp dụng các thay đổi. Đầu ra 'success' xác nhận rằng thao tác đã thành công.
Tiếp theo, chạy lệnh sau để xác minh trạng thái tường lửa và danh sách các dịch vụ và cổng được bật.
Bạn sẽ nhận được kết quả như thế này - Dịch vụ FreeIPA, NTP và DNS đã được thêm vào tường lửa.
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22220%22%3E%3C/svg%3E
Bây giờ bạn đã cấu hình fqdn, múi giờ và tường lửa, bạn có thể bắt đầu cài đặt máy chủ FreeIPA thông qua trình quản lý gói DNF.
Trong phần này, bạn sẽ cài đặt máy chủ FreeIPA, sau đó thiết lập triển khai FreeIPA tương tác thông qua dòng lệnh 'ipa-server-install', được cung cấp bởi gói FreeIPA.
Nhập lệnh 'dnf install' sau để cài đặt máy chủ FreeIPA, FreeIPA DNS và các gói máy khách FreeIPA. Khi được nhắc, hãy nhập y để xác nhận và nhấn ENTER để tiếp tục.
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22170%22%3E%3C/svg%3E
Sau khi FreeIPA được cài đặt, hãy nhập lệnh 'ipa-server-install' sau để bắt đầu triển khai tương tác máy chủ FreeIPA của bạn. Trong ví dụ này, bạn sẽ sử dụng tham số '--setup-dns', tham số này cũng sẽ cài đặt máy chủ DNS trên máy chủ FreeIPA của bạn.
Trong kết quả sau, bạn sẽ thấy danh sách các tác vụ mà bạn sẽ thực hiện để thiết lập và cấu hình máy chủ FreeIPA.
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22392%22%3E%3C/svg%3E
Đầu tiên, 'ipa-server-install' sẽ xác minh fqdn của hệ thống của bạn và đảm bảo rằng fqdn của máy chủ được trỏ đến đúng địa chỉ IP (thông qua DNS hoặc /etc/hosts). Trong ví dụ này, fqdn 'ipa.hwdomain.lan' được cấu hình thông qua tệp /etc/hosts, vì vậy bạn đã sẵn sàng.
Đối với tên miền và tên miền mặc định, cả hai đều sẽ theo fqdn của máy chủ. Vì vậy, fqdn 'ipa.hwdomain.lan' sẽ cung cấp cho bạn tên miền mặc định 'hwdomain.lan' với tên miền 'HWDOMAIN.LAN'.
Nhấn ENTER để sử dụng giá trị mặc định cho tên máy chủ (fqdn), tên miền và tên miền.
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22698%22%20height=%22377%22%3E%3C/svg%3E
Bây giờ hãy nhập mật khẩu mới cho Trình quản lý thư mục và người dùng quản trị IPA. Hãy đảm bảo sử dụng nhiều hơn 8 ký tự và mật khẩu mạnh.
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22712%22%20height=%22334%22%3E%3C/svg%3E
Tiếp theo, bạn sẽ được yêu cầu thiết lập trình chuyển tiếp DNS mặc định cho máy chủ FreeIPA của mình và thiết lập DNS ngược (rDNS) cho địa chỉ IP máy chủ FreeIPA của bạn. Nhấn ENTER để xác nhận cấu hình mặc định cho cả hai cài đặt.
Giữ nguyên cấu hình mặc định cho cấu hình tên miền NetBIOS và nhấn ENTER. Đối với cài đặt NTP, nhập số.
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22398%22%3E%3C/svg%3E
Bây giờ hãy xem lại cài đặt cơ bản của máy chủ FreeIPA, sau đó nhập 'yes' để xác nhận và nhấn ENTER để tiến hành cài đặt.
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22645%22%20height=%22426%22%3E%3C/svg%3E
Khi quá trình cài đặt máy chủ FreeIPA thành công, bạn sẽ nhận được thông báo như sau 'Thiết lập hoàn tất - Lệnh ipa-server-install đã thành công'. Bạn cũng sẽ thấy hướng dẫn cho các bước tiếp theo, đó là thiết lập tường lửa để mở một số cổng và cách lấy vé Kerberos cho quản trị viên.
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22471%22%3E%3C/svg%3E
Với hướng dẫn này, bạn đã hoàn tất cấu hình cơ bản của máy chủ FreeIPA thông qua 'ipa-server-install'. Ở bước tiếp theo, bạn sẽ xác thực với Kerberos và nhận được một vé quản trị cho phép bạn thiết lập FreeIPA từ thiết bị đầu cuối của mình.
Nhập lệnh 'kinit' sau để xác thực với máy chủ Kerberos thông qua người dùng 'admin'. Khi được yêu cầu nhập mật khẩu, hãy nhập mật khẩu quản trị viên IPA của bạn.
Bây giờ hãy xác minh xác thực và danh sách các vé Kerberos đã lấy được bằng cách nhập lệnh 'klist' sau.
Nếu xác thực Kerberos thành công, bạn sẽ nhận được đầu ra của vé được lưu trong bộ nhớ đệm cho chính mặc định '[emailprotected]' như sau ảnh chụp màn hình.
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22717%22%20height=%22253%22%3E%3C/svg%3E
Tiếp theo, bạn sẽ xác minh máy chủ FreeIPA bằng cách truy cập bảng điều khiển quản trị từ máy cục bộ của bạn. Trước khi bắt đầu, hãy mở tệp '/etc/hosts' trên máy tính cục bộ của bạn thông qua lệnh nano editor sau.
Thêm dòng sau vào tệp và đảm bảo thay đổi địa chỉ IP của tên miền bằng thông tin chi tiết về máy chủ FreeIPA của bạn.
Lưu và đóng tệp khi hoàn tất.
Tiếp theo, mở trình duyệt web của bạn và truy cập tên miền máy chủ FreeIPA (ví dụ: https://ipa.hwdomain.lan/). Bạn sẽ thấy trang đăng nhập FreeIPA.
Nhập tên người dùng mặc định là admin và mật khẩu FreeIPA của bạn, sau đó nhấp vào 'Đăng nhập'.
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22547%22%3E%3C/svg%3E
Nếu thành công, bạn sẽ nhận được bảng điều khiển quản trị web FreeIPA như ảnh chụp màn hình sau.
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22216%22%3E%3C/svg%3E
Với những điều này, giờ đây bạn đã cài đặt và cấu hình thành công máy chủ FreeIPA trên Rocky Linux 9. Ở bước tiếp theo, bạn sẽ học cách quản lý máy chủ FreeIPA bằng cách thêm người dùng và nhóm mới thông qua thiết bị đầu cuối, sau đó thêm máy chủ Linux mới bằng gói máy khách FreeIPA.
Nhập lệnh 'ipa config-mod' sau để sửa đổi shell mặc định cho người dùng FreeIPA thành '/bin/bash'. Khi được thực thi, lệnh này cũng sẽ in ra các thiết lập người dùng mặc định khác cho FreeIPA.
Dưới đây là đầu ra tương tự sẽ được in ra thiết bị đầu cuối của bạn.
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22621%22%20height=%22536%22%3E%3C/svg%3E
Tiếp theo, nhập lệnh 'ipa user-add' sau để thêm FreeIPA mới. Trong ví dụ này, bạn sẽ tạo người dùng mới 'rocky'. Khi được nhắc nhập mật khẩu, hãy nhập và xác minh mật khẩu mới cho người dùng của bạn.
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22681%22%20height=%22545%22%3E%3C/svg%3E
Bây giờ hãy xác minh thông tin chi tiết của người dùng 'rocky' bằng cách nhập lệnh 'ipa user-find' bên dưới. Khi bạn thấy thông tin chi tiết về người dùng 'rocky', điều này có nghĩa là bạn đã tạo thành công người dùng FreeIPA.
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22404%22%20height=%22419%22%3E%3C/svg%3E
Bạn cũng có thể sử dụng lệnh 'ipa user-show' để hiển thị thông tin chi tiết về FreeIPA người dùng.
Đầu ra:
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22409%22%20height=%22356%22%3E%3C/svg%3E
Tiếp theo, nhập lệnh 'ipa group-add' sau để tạo một nhóm mới có tên là 'development'. Sau đó, xác minh nhóm 'development bằng cách nhập lệnh 'ipa group-find' để đảm bảo rằng nhóm đã được tạo.
Đầu ra '1 nhóm khớp xác nhận rằng nhóm 'phát triển' đã được thêm và có sẵn trên máy chủ FreeIPA.
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22635%22%20height=%22486%22%3E%3C/svg%3E
Bây giờ hãy nhập lệnh 'ipa group-add-member' sau để thêm người dùng FreeIPA 'rocky' vào nhóm 'phát triển'.
Đầu ra 'Số lượng thành viên được thêm vào 1' xác nhận rằng người dùng 'rocky' đã được thêm vào nhóm 'phát triển'.
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22599%22%20height=%22207%22%3E%3C/svg%3E
Bây giờ hãy quay lại bảng điều khiển quản trị FreeIPA, nhấp vào menu 'Danh tính' và nhấp vào tab 'Người dùng'. Bây giờ bạn sẽ thấy người dùng FreeIPA mới 'rocky' đã được tạo và có sẵn trên máy chủ FreeIPA.
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22216%22%3E%3C/svg%3E
Cuối cùng, hãy nhấp vào tab 'Nhóm' để xác minh danh sách các nhóm trên FreeIPA. Nhóm mới 'development' có sẵn trên máy chủ FreeIPA. Nhấp vào nhóm 'development' để biết thông tin chi tiết và bạn sẽ thấy người dùng 'rocky' đã được thêm và có trong nhóm 'development'.
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22249%22%3E%3C/svg%3E
Lúc này, bạn đã tạo xong người dùng và nhóm FreeIPA từ thiết bị đầu cuối thông qua công cụ quản lý lệnh 'ipa'. Ngoài ra, bạn đã xác minh rằng người dùng và nhóm của mình đã được thêm thông qua bảng điều khiển quản trị web FreeIPA. Ở bước tiếp theo, bạn sẽ tìm hiểu cách thêm máy chủ/máy chủ Linux vào máy chủ FreeIPA.
Dưới đây là các bước bạn phải thực hiện để thêm máy chủ mới vào máy chủ FreeIPA:
Nhập 'ipa dnsrecord-add' sau để thêm bản ghi DNS mới cho máy chủ 'client' với địa chỉ IP '192.168.5.80'. Với lệnh này, máy khách sẽ có tên miền 'client.hwdomain.lan'.
Trong ví dụ này, bạn sẽ định nghĩa bản ghi A cho máy chủ có tên là 'client' với địa chỉ IP '192.168.5.80'. Tên miền 'hwdomain.lan' sẽ theo tên miền mặc định của máy chủ FreeIPA của bạn.
Bây giờ hãy xác minh bản ghi DNS 'client' bằng cách nhập lệnh 'ipa dnsrecord-find' bên dưới. Bạn sẽ thấy máy 'client' có bản ghi A được phân giải thành địa chỉ IP '192.168.5.80'.
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22695%22%20height=%22251%22%3E%3C/svg%3E
Cuối cùng, nhập lệnh 'dig' sau để xác minh Tên miền DNS của máy khách 'client.hwdomain.lan'.
Nếu thành công, bạn sẽ nhận được kết quả như sau - Tên miền máy khách 'client.hwdomain.lan' được trỏ đến địa chỉ IP của máy chủ '192.168.5.80'.
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22673%22%20height=%22355%22%3E%3C/svg%3E
Với điều này, bây giờ bạn đã sẵn sàng để thiết lập máy 'client' và thêm nó vào máy chủ FreeIPA.
Trong phần này, bạn sẽ thiết lập tệp '/etc/hosts' và xác định tên miền và địa chỉ IP của máy chủ FreeIPA. Sau đó, bạn sẽ sửa đổi tệp '/etc/resolv.conf' để thiết lập trình phân giải DNS mặc định của máy 'client' bằng trình phân giải DNS của máy chủ FreeIPA. Điều này sẽ đảm bảo rằng máy khách của bạn có thể truy cập máy chủ FreeIPA thông qua tên miền.
Nhập lệnh nano editor sau để mở tệp '/etc/hosts'.
Thêm các dòng sau vào tệp và đảm bảo thay đổi địa chỉ IP và tên miền bằng máy chủ FreeIPA của bạn.
Lưu và thoát khỏi tệp khi hoàn tất.
Tiếp theo, mở tệp '/etc/resolv.conf' bằng lệnh trình chỉnh sửa nano sau.
Thêm dòng sau vào đầu dòng và đảm bảo thay đổi địa chỉ IP bằng địa chỉ IP máy chủ FreeIPA của bạn.
Lưu và đóng tệp khi hoàn tất.
Cuối cùng, nhập lệnh 'ping' sau để xác minh tên miền máy chủ FreeIPA và tên miền máy khách.
Bạn sẽ nhận được kết quả như sau - Tên miền máy chủ FreeIPA 'ipa.hwdomain.lan' sẽ được trỏ đến địa chỉ IP '192.168.5.25' như được định nghĩa trong tệp '/etc/hosts'.
Và tên miền máy khách 'client.hwdomain.lan' sẽ được trỏ đến địa chỉ IP chính xác '192.168.5.80', được cấu hình thông qua máy chủ DNS FreeIPA và xác nhận rằng bạn đã thiết lập trình phân giải DNS đúng và phù hợp.
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22737%22%20height=%22512%22%3E%3C/svg%3E
Với điều này, bạn đã sẵn sàng cài đặt gói máy khách FreeIPA và thêm máy khách của mình vào máy chủ FreeIPA.
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22157%22%3E%3C/svg%3E
Khi quá trình cài đặt hoàn tất, hãy nhập lệnh 'ipa-client-install' sau để thêm máy khách của bạn vào máy chủ FreeIPA. Hãy đảm bảo thay đổi tham số '--server=ipa.hwdomain.lan' bằng máy chủ FreeIPA của bạn, cũng như các tham số '--domain hwdomain.lan' và '--realm HWDOMAIN.LAN'.
Nhập 'yes' để tiếp tục với giá trị cố định của thông tin chi tiết về máy chủ FreeIPA. và đối với các thiết lập máy chủ NTP, nhập 'không'.
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22279%22%3E%3C/svg%3E
Bây giờ hãy xem lại cấu hình máy khách, sau đó nhập 'có' để xác nhận.
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22224%22%3E%3C/svg%3E
Bây giờ bạn sẽ được nhắc xác thực người dùng với máy chủ Kerberos. Điều này là cần thiết vì vé Kerberos phải được lưu vào bộ nhớ đệm khi thêm máy chủ mới vào máy chủ FreeIPA.
Nhập người dùng mặc định là 'admin' và nhập mật khẩu của bạn. Khi thành công, bạn sẽ nhận được kết quả như sau - Quá trình này sẽ bắt đầu.
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22645%22%20height=%22325%22%3E%3C/svg%3E
Khi quá trình hoàn tất, bạn sẽ nhận được kết quả như sau 'Cấu hình máy khách đã hoàn tất - Lệnh ipa-client-install đã thành công'.
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22592%22%20height=%22264%22%3E%3C/svg%3E
Với suy nghĩ này, giờ bạn đã thêm một máy khách Rocky Linux vào máy chủ FreeIPA thông qua tiện ích 'ipa-client-install' do gói máy khách FreeIPA cung cấp. Giờ bạn cũng có thể đăng nhập vào máy khách bằng người dùng FreeIPA mà bạn đã thêm.
Quay lại máy chủ FreeIPA của bạn và chạy lệnh 'ssh' bên dưới để kết nối với 'client.hwdomain'lan' với người dùng FreeIPA 'rocky'. Nhập 'yes' để chấp nhận dấu vân tay SSH của máy chủ.
Khi được yêu cầu nhập mật khẩu, hãy nhập mật khẩu cho người dùng FreeIPA 'rocky'. Khi bạn có mật khẩu chính xác, bạn sẽ được yêu cầu đổi mật khẩu hiện tại thành mật khẩu mới.
Nhập mật khẩu hiện tại, sau đó nhập mật khẩu mới cho người dùng 'rocky' và lặp lại mật khẩu. Khi thành công, bạn sẽ được đăng nhập vào máy 'client.hwdomain.lan' thông qua người dùng FreeIPA 'rocky'. Ngoài ra, thư mục gốc cho người dùng FreeIPA được tự động tạo trong quá trình đăng nhập.
Nhập lệnh sau để xác minh trạng thái kết nối hiện tại của bạn. Bạn sẽ thấy người dùng bạn đang sử dụng là 'rocky', thuộc nhóm 'development'. Ngoài ra, bạn có thể thấy fqdn của máy khách là 'client.hwdomain.lan'.
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22344%22%3E%3C/svg%3E
Cuối cùng, thông qua bảng điều khiển quản trị web, bạn sẽ xác minh danh sách các máy chủ/máy có sẵn trên FreeIPA máy chủ.
Quay lại bảng điều khiển quản trị FreeIPA và nhấp vào menu 'Identity', sau đó chọn tab 'Hosts'. Bạn sẽ thấy 'client.hwdomain.lan' đã được thêm vào và có sẵn trên máy chủ FreeIPA.
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22200%22%3E%3C/svg%3E
Bây giờ hãy nhấp vào liên kết 'client.hwdomain.lan' để biết thông tin chi tiết về máy chủ. Bạn sẽ thấy thông tin chi tiết về máy chủ trong ảnh chụp màn hình sau.
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22550%22%3E%3C/svg%3E
Với những thông tin này, bạn đã cài đặt thành công máy chủ FreeIPA trên Rocky Linux 9 và cũng đã thêm máy chủ lưu trữ máy khách Rocky Linux thông qua máy khách FreeIPA.
Ngoài ra, bạn cũng đã học cách sử dụng cơ bản lệnh 'ipa' để tạo và quản lý người dùng và nhóm FreeIPA, cũng như cách lấy vé Kerberos qua lệnh kinit và đăng nhập vào quản trị web FreeIPA qua tên người dùng và mật khẩu quản trị viên.
Cuối cùng, bạn đã thêm máy khách vào máy chủ FreeIPA qua gói máy khách FreeIPA. Bạn đã học từng bước cách thực hiện và cũng đã xác minh cài đặt của mình bằng cách đăng nhập vào máy khách qua người dùng FreeIPA.
Với điều này, giờ đây bạn có thể thêm nhiều máy chủ, người dùng và nhóm hơn vào máy chủ FreeIPA của mình. Bạn cũng có thể tích hợp FreeIPA vào sản xuất của mình. Để biết thông tin chi tiết, hãy truy cập tài liệu chính thức của FreeIPA.
FreeIPA được xây dựng trên nhiều thành phần, bao gồm Directory Server, DNS, Kerberos, PKI, Certmonger, NTP Server, giao diện người dùng quản trị web, v.v. FreeIPA cung cấp nguồn thông tin xác thực người dùng và kiểm soát truy cập tập trung. FreeIPA cho phép quản trị viên quản lý danh tính trong môi trường tập trung một cách dễ dàng và cung cấp khả năng giám sát, xác thực và kiểm soát truy cập cho người dùng.
Trong hướng dẫn này, bạn sẽ cài đặt và thiết lập FreeIPA trên máy chủ Rocky Linux 9. Bạn sẽ cài đặt các gói máy chủ FreeIPA và thiết lập triển khai FreeIPA. Sau đó, bạn cũng sẽ thiết lập người dùng FreeIPA. Cuối cùng, bạn cũng sẽ học cách cài đặt và thiết lập máy khách FreeIPA trên máy chủ Rocky Linux và thêm nó vào máy chủ FreeIPA.
Điều kiện tiên quyết
Để hoàn thành hướng dẫn này, bạn phải có các yêu cầu sau:Trước khi bắt đầu, bạn phải đảm bảo rằng mình đã có các yêu cầu sau:
- Hai hoặc nhiều máy chủ Rocky Linux 9 - Trong hướng dẫn này, bạn sử dụng hai máy chủ Rocky Linux cho máy chủ FreeIPA và máy khách FreeIPA.
- Người dùng không phải root có quyền quản trị viên sudo/root.
- SELinux đang chạy ở chế độ cho phép.
Mã:
Hostname IP Address Used as
--------------------------------------------
ipa 192.168.5.25 FreeIPA Server
client 192.168.5.80 FreeIPA ClientThiết lập FQDN và Múi giờ
Đối với hướng dẫn này, trước tiên bạn sẽ thiết lập FQDN (Tên miền đủ điều kiện) và múi giờ mặc định trên máy chủ FreeIPA của mình.Nhập lệnh 'hostnamectl' sau để thiết lập fqdn trên hệ thống của bạn. Trong ví dụ này, máy chủ FreeIPA phải có fqdn 'ipa.hwdomain.lan'.
Mã:
sudo hostnamectl set-hostname ipa.hwdomain.lan
Mã:
sudo nano /etc/hosts
Mã:
# ip - fqdn - hostname
192.168.5.25 ipa.hwdomain.lan ipaTiếp theo, nhập lệnh sau để xác minh fqdn của hệ thống. Sau đó, hãy đảm bảo rằng fqdn được phân giải thành địa chỉ IP nội bộ của bạn.
Mã:
sudo hostname -f
sudo ping -c3 ipa.hwdomain.landata:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22727%22%20height=%22277%22%3E%3C/svg%3E
Bây giờ hãy nhập lệnh 'timedatectl' sau để thiết lập múi giờ mặc định cho máy chủ của bạn. Trong ví dụ này, thời gian cho máy chủ FreeIPA sẽ là 'Châu Âu/Stockholm'.
Mã:
sudo timedatectl set-timezone Europe/Stockholm
Mã:
sudo unlink /etc/localtime
sudo ln -s /usr/share/timezone/Europe/Stockholm /etc/localtimedata:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22722%22%20height=%22185%22%3E%3C/svg%3E
Với fqdn và múi giờ đã được cấu hình, tiếp theo bạn sẽ thiết lập firewalld và mở một số cổng mà máy chủ FreeIPA sẽ sử dụng.
Thiết lập Firewalld
Trên các bản phân phối dựa trên RHEL, phần mềm tường lửa mặc định được cài đặt là firewalld và nó tự động khởi động và chạy. Trong phần này, bạn sẽ thêm dịch vụ FreeIPA với một số dịch vụ bổ sung như NTP và DNS vào firewalld.Nhập lệnh 'firewall-cmd' sau để thêm FreeIPA, DNS và NTP vào firewalld. Sau đó, tải lại firewalld để áp dụng các thay đổi. Đầu ra 'success' xác nhận rằng thao tác đã thành công.
Mã:
sudo firewall-cmd --add-service={freeipa-ldap,freeipa-ldaps,dns,ntp,http,https,kerberos} --permanent
sudo firewall-cmd --reload
Mã:
sudo firewall-cmd --list-alldata:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22220%22%3E%3C/svg%3E
Bây giờ bạn đã cấu hình fqdn, múi giờ và tường lửa, bạn có thể bắt đầu cài đặt máy chủ FreeIPA thông qua trình quản lý gói DNF.
Cài đặt và cấu hình máy chủ FreeIPA
Trên Rocky Linux 9 mới nhất, máy chủ FreeIPA có sẵn theo mặc định trên kho lưu trữ 'appstream'. Vì vậy, bạn không cần phải thêm kho lưu trữ của bên thứ ba để cài đặt gói máy chủ FreeIPA.Trong phần này, bạn sẽ cài đặt máy chủ FreeIPA, sau đó thiết lập triển khai FreeIPA tương tác thông qua dòng lệnh 'ipa-server-install', được cung cấp bởi gói FreeIPA.
Nhập lệnh 'dnf install' sau để cài đặt máy chủ FreeIPA, FreeIPA DNS và các gói máy khách FreeIPA. Khi được nhắc, hãy nhập y để xác nhận và nhấn ENTER để tiếp tục.
Mã:
sudo dnf install freeipa-server freeipa-server-dns freeipa-clientdata:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22170%22%3E%3C/svg%3E
Sau khi FreeIPA được cài đặt, hãy nhập lệnh 'ipa-server-install' sau để bắt đầu triển khai tương tác máy chủ FreeIPA của bạn. Trong ví dụ này, bạn sẽ sử dụng tham số '--setup-dns', tham số này cũng sẽ cài đặt máy chủ DNS trên máy chủ FreeIPA của bạn.
Mã:
sudo ipa-server-install --setup-dnsdata:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22392%22%3E%3C/svg%3E
Đầu tiên, 'ipa-server-install' sẽ xác minh fqdn của hệ thống của bạn và đảm bảo rằng fqdn của máy chủ được trỏ đến đúng địa chỉ IP (thông qua DNS hoặc /etc/hosts). Trong ví dụ này, fqdn 'ipa.hwdomain.lan' được cấu hình thông qua tệp /etc/hosts, vì vậy bạn đã sẵn sàng.
Đối với tên miền và tên miền mặc định, cả hai đều sẽ theo fqdn của máy chủ. Vì vậy, fqdn 'ipa.hwdomain.lan' sẽ cung cấp cho bạn tên miền mặc định 'hwdomain.lan' với tên miền 'HWDOMAIN.LAN'.
Nhấn ENTER để sử dụng giá trị mặc định cho tên máy chủ (fqdn), tên miền và tên miền.
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22698%22%20height=%22377%22%3E%3C/svg%3E
Bây giờ hãy nhập mật khẩu mới cho Trình quản lý thư mục và người dùng quản trị IPA. Hãy đảm bảo sử dụng nhiều hơn 8 ký tự và mật khẩu mạnh.
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22712%22%20height=%22334%22%3E%3C/svg%3E
Tiếp theo, bạn sẽ được yêu cầu thiết lập trình chuyển tiếp DNS mặc định cho máy chủ FreeIPA của mình và thiết lập DNS ngược (rDNS) cho địa chỉ IP máy chủ FreeIPA của bạn. Nhấn ENTER để xác nhận cấu hình mặc định cho cả hai cài đặt.
Giữ nguyên cấu hình mặc định cho cấu hình tên miền NetBIOS và nhấn ENTER. Đối với cài đặt NTP, nhập số.
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22398%22%3E%3C/svg%3E
Bây giờ hãy xem lại cài đặt cơ bản của máy chủ FreeIPA, sau đó nhập 'yes' để xác nhận và nhấn ENTER để tiến hành cài đặt.
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22645%22%20height=%22426%22%3E%3C/svg%3E
Khi quá trình cài đặt máy chủ FreeIPA thành công, bạn sẽ nhận được thông báo như sau 'Thiết lập hoàn tất - Lệnh ipa-server-install đã thành công'. Bạn cũng sẽ thấy hướng dẫn cho các bước tiếp theo, đó là thiết lập tường lửa để mở một số cổng và cách lấy vé Kerberos cho quản trị viên.
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22471%22%3E%3C/svg%3E
Với hướng dẫn này, bạn đã hoàn tất cấu hình cơ bản của máy chủ FreeIPA thông qua 'ipa-server-install'. Ở bước tiếp theo, bạn sẽ xác thực với Kerberos và nhận được một vé quản trị cho phép bạn thiết lập FreeIPA từ thiết bị đầu cuối của mình.
Xác thực quản trị Kerberos và Bảng điều khiển giao diện người dùng web FreeIPA
Sau khi cấu hình máy chủ FreeIPA thông qua 'ipa-server-install', bây giờ bạn sẽ xác minh cài đặt FreeIPA bằng cách lấy phiếu quản trị từ Kerberos và đăng nhập vào bảng điều khiển quản trị web FreeIPA.Nhập lệnh 'kinit' sau để xác thực với máy chủ Kerberos thông qua người dùng 'admin'. Khi được yêu cầu nhập mật khẩu, hãy nhập mật khẩu quản trị viên IPA của bạn.
Mã:
kinit admin
Mã:
klistdata:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22717%22%20height=%22253%22%3E%3C/svg%3E
Tiếp theo, bạn sẽ xác minh máy chủ FreeIPA bằng cách truy cập bảng điều khiển quản trị từ máy cục bộ của bạn. Trước khi bắt đầu, hãy mở tệp '/etc/hosts' trên máy tính cục bộ của bạn thông qua lệnh nano editor sau.
Mã:
sudo nano /etc/hosts
Mã:
# ip - domain
192.168.5.25 ipa.hwdomain.lan ipaTiếp theo, mở trình duyệt web của bạn và truy cập tên miền máy chủ FreeIPA (ví dụ: https://ipa.hwdomain.lan/). Bạn sẽ thấy trang đăng nhập FreeIPA.
Nhập tên người dùng mặc định là admin và mật khẩu FreeIPA của bạn, sau đó nhấp vào 'Đăng nhập'.
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22547%22%3E%3C/svg%3E
Nếu thành công, bạn sẽ nhận được bảng điều khiển quản trị web FreeIPA như ảnh chụp màn hình sau.
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22216%22%3E%3C/svg%3E
Với những điều này, giờ đây bạn đã cài đặt và cấu hình thành công máy chủ FreeIPA trên Rocky Linux 9. Ở bước tiếp theo, bạn sẽ học cách quản lý máy chủ FreeIPA bằng cách thêm người dùng và nhóm mới thông qua thiết bị đầu cuối, sau đó thêm máy chủ Linux mới bằng gói máy khách FreeIPA.
Thiết lập Người dùng và Nhóm FreeIPA Đầu tiên
Trong phần này, bạn sẽ học cách sử dụng lệnh 'ipa' để quản lý người dùng và nhóm. Bạn sẽ sử dụng lệnh 'ipa' với các tham số khác nhau để tạo người dùng, kiểm tra danh sách người dùng, tạo nhóm, kiểm tra danh sách nhóm và thêm người dùng FreeIP vào một nhóm cụ thể. Và cuối cùng, bạn sẽ xác minh danh sách người dùng và nhóm thông qua bảng điều khiển quản trị FreeIPA.Nhập lệnh 'ipa config-mod' sau để sửa đổi shell mặc định cho người dùng FreeIPA thành '/bin/bash'. Khi được thực thi, lệnh này cũng sẽ in ra các thiết lập người dùng mặc định khác cho FreeIPA.
Mã:
ipa config-mod --defaultshell=/bin/bashdata:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22621%22%20height=%22536%22%3E%3C/svg%3E
Tiếp theo, nhập lệnh 'ipa user-add' sau để thêm FreeIPA mới. Trong ví dụ này, bạn sẽ tạo người dùng mới 'rocky'. Khi được nhắc nhập mật khẩu, hãy nhập và xác minh mật khẩu mới cho người dùng của bạn.
Mã:
ipa user-add rocky --first=Rocky --last=Linux --passworddata:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22681%22%20height=%22545%22%3E%3C/svg%3E
Bây giờ hãy xác minh thông tin chi tiết của người dùng 'rocky' bằng cách nhập lệnh 'ipa user-find' bên dưới. Khi bạn thấy thông tin chi tiết về người dùng 'rocky', điều này có nghĩa là bạn đã tạo thành công người dùng FreeIPA.
Mã:
ipa user-find rockydata:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22404%22%20height=%22419%22%3E%3C/svg%3E
Bạn cũng có thể sử dụng lệnh 'ipa user-show' để hiển thị thông tin chi tiết về FreeIPA người dùng.
Mã:
ipa user-show --raw rockydata:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22409%22%20height=%22356%22%3E%3C/svg%3E
Tiếp theo, nhập lệnh 'ipa group-add' sau để tạo một nhóm mới có tên là 'development'. Sau đó, xác minh nhóm 'development bằng cách nhập lệnh 'ipa group-find' để đảm bảo rằng nhóm đã được tạo.
Mã:
ipa group-add --desc='Development Team' development
ipa group-find developmentdata:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22635%22%20height=%22486%22%3E%3C/svg%3E
Bây giờ hãy nhập lệnh 'ipa group-add-member' sau để thêm người dùng FreeIPA 'rocky' vào nhóm 'phát triển'.
Mã:
ipa group-add-member --user=rocky developmentdata:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22599%22%20height=%22207%22%3E%3C/svg%3E
Bây giờ hãy quay lại bảng điều khiển quản trị FreeIPA, nhấp vào menu 'Danh tính' và nhấp vào tab 'Người dùng'. Bây giờ bạn sẽ thấy người dùng FreeIPA mới 'rocky' đã được tạo và có sẵn trên máy chủ FreeIPA.
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22216%22%3E%3C/svg%3E
Cuối cùng, hãy nhấp vào tab 'Nhóm' để xác minh danh sách các nhóm trên FreeIPA. Nhóm mới 'development' có sẵn trên máy chủ FreeIPA. Nhấp vào nhóm 'development' để biết thông tin chi tiết và bạn sẽ thấy người dùng 'rocky' đã được thêm và có trong nhóm 'development'.
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22249%22%3E%3C/svg%3E
Lúc này, bạn đã tạo xong người dùng và nhóm FreeIPA từ thiết bị đầu cuối thông qua công cụ quản lý lệnh 'ipa'. Ngoài ra, bạn đã xác minh rằng người dùng và nhóm của mình đã được thêm thông qua bảng điều khiển quản trị web FreeIPA. Ở bước tiếp theo, bạn sẽ tìm hiểu cách thêm máy chủ/máy chủ Linux vào máy chủ FreeIPA.
Thêm máy chủ vào máy chủ FreeIPA: Rocky Linux
FreeIPA cung cấp cách dễ nhất để thêm máy chủ mới vào máy chủ FreeIPA, có thể thực hiện thông qua gói máy khách FreeIPA cung cấp tiện ích 'ipa-client-install'. Trong phần này, bạn sẽ thêm máy Rocky Linux 9 vào máy chủ FreeIPA 'ipa.hwdomain.lan'.Dưới đây là các bước bạn phải thực hiện để thêm máy chủ mới vào máy chủ FreeIPA:
- Thêm bản ghi DNS của máy chủ từ Máy chủ FreeIPA
- Thiết lập tệp /etc/hosts và tệp /etc/resolv.conf
- Cài đặt máy khách FreeIPA và thêm máy chủ thông qua 'ipa-client-install'
Thêm bản ghi DNS
Trước tiên, bạn phải thêm bản ghi DNS của máy khách vào máy chủ FreeIPA. Và điều này có thể được thực hiện thông qua lệnh 'ipa dnsrecord-add' mà bạn có thể thực thi từ máy chủ FreeIPA.Nhập 'ipa dnsrecord-add' sau để thêm bản ghi DNS mới cho máy chủ 'client' với địa chỉ IP '192.168.5.80'. Với lệnh này, máy khách sẽ có tên miền 'client.hwdomain.lan'.
Trong ví dụ này, bạn sẽ định nghĩa bản ghi A cho máy chủ có tên là 'client' với địa chỉ IP '192.168.5.80'. Tên miền 'hwdomain.lan' sẽ theo tên miền mặc định của máy chủ FreeIPA của bạn.
Mã:
ipa dnsrecord-add hwdomain.lan client --a-rec 192.168.5.80
Mã:
ipa dnsrecord-find hwdomain.lan clientdata:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22695%22%20height=%22251%22%3E%3C/svg%3E
Cuối cùng, nhập lệnh 'dig' sau để xác minh Tên miền DNS của máy khách 'client.hwdomain.lan'.
Mã:
dig client.hwdomain.landata:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22673%22%20height=%22355%22%3E%3C/svg%3E
Với điều này, bây giờ bạn đã sẵn sàng để thiết lập máy 'client' và thêm nó vào máy chủ FreeIPA.
Thiết lập FQDN, /etc/hosts và trình phân giải
Bây giờ hãy kết nối với máy 'client' để thiết lập các cài đặt hệ thống cơ bản trước khi cài đặt các gói máy khách FreeIPA.Trong phần này, bạn sẽ thiết lập tệp '/etc/hosts' và xác định tên miền và địa chỉ IP của máy chủ FreeIPA. Sau đó, bạn sẽ sửa đổi tệp '/etc/resolv.conf' để thiết lập trình phân giải DNS mặc định của máy 'client' bằng trình phân giải DNS của máy chủ FreeIPA. Điều này sẽ đảm bảo rằng máy khách của bạn có thể truy cập máy chủ FreeIPA thông qua tên miền.
Nhập lệnh nano editor sau để mở tệp '/etc/hosts'.
Mã:
sudo nano /etc/hosts
Mã:
# ip - fqdn/domain - hostname
192.168.5.25 ipa.hwdomain.lan ipaTiếp theo, mở tệp '/etc/resolv.conf' bằng lệnh trình chỉnh sửa nano sau.
Mã:
sudo nano /etc/resolv.conf
Mã:
# list resolver
nameserver 192.168.5.25Cuối cùng, nhập lệnh 'ping' sau để xác minh tên miền máy chủ FreeIPA và tên miền máy khách.
Mã:
ping -c3 ipa.hwdomain.lan
ping -c3 client.hwdomain.lanVà tên miền máy khách 'client.hwdomain.lan' sẽ được trỏ đến địa chỉ IP chính xác '192.168.5.80', được cấu hình thông qua máy chủ DNS FreeIPA và xác nhận rằng bạn đã thiết lập trình phân giải DNS đúng và phù hợp.
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22737%22%20height=%22512%22%3E%3C/svg%3E
Với điều này, bạn đã sẵn sàng cài đặt gói máy khách FreeIPA và thêm máy khách của mình vào máy chủ FreeIPA.
Cài đặt và cấu hình máy khách
Đầu tiên, hãy nhập lệnh 'dnf install' sau để cài đặt gói máy khách FreeIPA và gói bổ sung 'oddjob-mkhomedir'. Khi được nhắc, hãy nhập y để xác nhận và nhấn ENTER để tiếp tục.
Mã:
sudo dnf install freeipa-client oddjob-mkhomedirdata:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22157%22%3E%3C/svg%3E
Khi quá trình cài đặt hoàn tất, hãy nhập lệnh 'ipa-client-install' sau để thêm máy khách của bạn vào máy chủ FreeIPA. Hãy đảm bảo thay đổi tham số '--server=ipa.hwdomain.lan' bằng máy chủ FreeIPA của bạn, cũng như các tham số '--domain hwdomain.lan' và '--realm HWDOMAIN.LAN'.
Mã:
ipa-client-install --hostname=`hostname -f` \
--mkhomedir \
--server=ipa.hwdomain.lan \
--domain hwdomain.lan \
--realm HWDOMAIN.LANdata:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22279%22%3E%3C/svg%3E
Bây giờ hãy xem lại cấu hình máy khách, sau đó nhập 'có' để xác nhận.
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22224%22%3E%3C/svg%3E
Bây giờ bạn sẽ được nhắc xác thực người dùng với máy chủ Kerberos. Điều này là cần thiết vì vé Kerberos phải được lưu vào bộ nhớ đệm khi thêm máy chủ mới vào máy chủ FreeIPA.
Nhập người dùng mặc định là 'admin' và nhập mật khẩu của bạn. Khi thành công, bạn sẽ nhận được kết quả như sau - Quá trình này sẽ bắt đầu.
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22645%22%20height=%22325%22%3E%3C/svg%3E
Khi quá trình hoàn tất, bạn sẽ nhận được kết quả như sau 'Cấu hình máy khách đã hoàn tất - Lệnh ipa-client-install đã thành công'.
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22592%22%20height=%22264%22%3E%3C/svg%3E
Với suy nghĩ này, giờ bạn đã thêm một máy khách Rocky Linux vào máy chủ FreeIPA thông qua tiện ích 'ipa-client-install' do gói máy khách FreeIPA cung cấp. Giờ bạn cũng có thể đăng nhập vào máy khách bằng người dùng FreeIPA mà bạn đã thêm.
Đăng nhập vào Máy khách thông qua Người dùng FreeIPA
Trong phần này, bạn sẽ xác minh việc cài đặt máy chủ và máy khách FreeIPA bằng cách kết nối với máy khách thông qua người dùng FreeIPA. Bạn sẽ kết nối với máy chủ 'client.hwdomain.lan' với người dùng FreeIPA 'rocky' qua SSH.Quay lại máy chủ FreeIPA của bạn và chạy lệnh 'ssh' bên dưới để kết nối với 'client.hwdomain'lan' với người dùng FreeIPA 'rocky'. Nhập 'yes' để chấp nhận dấu vân tay SSH của máy chủ.
Mã:
ssh [emailprotected]Nhập mật khẩu hiện tại, sau đó nhập mật khẩu mới cho người dùng 'rocky' và lặp lại mật khẩu. Khi thành công, bạn sẽ được đăng nhập vào máy 'client.hwdomain.lan' thông qua người dùng FreeIPA 'rocky'. Ngoài ra, thư mục gốc cho người dùng FreeIPA được tự động tạo trong quá trình đăng nhập.
Nhập lệnh sau để xác minh trạng thái kết nối hiện tại của bạn. Bạn sẽ thấy người dùng bạn đang sử dụng là 'rocky', thuộc nhóm 'development'. Ngoài ra, bạn có thể thấy fqdn của máy khách là 'client.hwdomain.lan'.
Mã:
id
whoami
hostname -fdata:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22344%22%3E%3C/svg%3E
Cuối cùng, thông qua bảng điều khiển quản trị web, bạn sẽ xác minh danh sách các máy chủ/máy có sẵn trên FreeIPA máy chủ.
Quay lại bảng điều khiển quản trị FreeIPA và nhấp vào menu 'Identity', sau đó chọn tab 'Hosts'. Bạn sẽ thấy 'client.hwdomain.lan' đã được thêm vào và có sẵn trên máy chủ FreeIPA.
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22200%22%3E%3C/svg%3E
Bây giờ hãy nhấp vào liên kết 'client.hwdomain.lan' để biết thông tin chi tiết về máy chủ. Bạn sẽ thấy thông tin chi tiết về máy chủ trong ảnh chụp màn hình sau.
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22550%22%3E%3C/svg%3E
Với những thông tin này, bạn đã cài đặt thành công máy chủ FreeIPA trên Rocky Linux 9 và cũng đã thêm máy chủ lưu trữ máy khách Rocky Linux thông qua máy khách FreeIPA.
Kết luận
Trong hướng dẫn này, bạn đã tìm hiểu cách cài đặt và triển khai máy chủ FreeIPA trên máy chủ ROcky Linux 9. Bạn đã cấu hình máy chủ FreeIPA trên Rocky Linux với DNS được bật qua Bind và firewalld cũng được cấu hình.Ngoài ra, bạn cũng đã học cách sử dụng cơ bản lệnh 'ipa' để tạo và quản lý người dùng và nhóm FreeIPA, cũng như cách lấy vé Kerberos qua lệnh kinit và đăng nhập vào quản trị web FreeIPA qua tên người dùng và mật khẩu quản trị viên.
Cuối cùng, bạn đã thêm máy khách vào máy chủ FreeIPA qua gói máy khách FreeIPA. Bạn đã học từng bước cách thực hiện và cũng đã xác minh cài đặt của mình bằng cách đăng nhập vào máy khách qua người dùng FreeIPA.
Với điều này, giờ đây bạn có thể thêm nhiều máy chủ, người dùng và nhóm hơn vào máy chủ FreeIPA của mình. Bạn cũng có thể tích hợp FreeIPA vào sản xuất của mình. Để biết thông tin chi tiết, hãy truy cập tài liệu chính thức của FreeIPA.
