FreeIPA là giải pháp Xác thực và Nhận dạng tích hợp nguồn mở cho các hệ thống chạy trên Linux và Unix. Giải pháp này cung cấp xác thực tập trung bằng cách lưu trữ dữ liệu về người dùng, nhóm, máy chủ và các đối tượng khác. Giải pháp này cung cấp dịch vụ quản lý nhận dạng tích hợp cho Linux, Mac và Windows. FreeIPA dựa trên 389 Directory Server, Kerberos, SSSD, Dogtag, NTP và DNS. Giải pháp này cung cấp giao diện dựa trên web để quản lý người dùng và máy khách Linux trong miền của bạn từ vị trí trung tâm.
Trong hướng dẫn này, chúng tôi sẽ chỉ cho bạn cách cài đặt máy chủ FreeIPA trên CentOS 8.
Tiếp theo, chỉnh sửa tệp /etc/hosts và thêm IP máy chủ và tên máy chủ của bạn:
Thêm các dòng sau:
Lưu và đóng tệp khi bạn hoàn tất.
L1 trong hệ thống của mình.
Bạn có thể bật nó bằng lệnh sau:
Tiếp theo, đồng bộ kho lưu trữ bằng lệnh sau:
Tiếp theo, chạy lệnh sau để cài đặt máy chủ FreeIPA trong hệ thống của bạn.
Sau khi cài đặt hoàn tất, bạn có thể tiến hành bước tiếp theo.
Bạn sẽ được yêu cầu cấu hình DNS tích hợp như hiển thị bên dưới:
Nhấn Enter để chọn không. Bạn sẽ được yêu cầu cung cấp tên máy chủ của máy chủ:
Nhấn Enter để chọn tên máy chủ mặc định. Bạn sẽ được yêu cầu xác nhận tên miền của mình như hiển thị bên dưới:
Nhấn Enter để chọn tên miền mặc định. Bạn sẽ được yêu cầu đặt mật khẩu Trình quản lý thư mục như hiển thị bên dưới:
Cung cấp mật khẩu mong muốn của bạn và nhấn Enter. Bạn sẽ được yêu cầu đặt mật khẩu quản trị viên IPA như hiển thị bên dưới:
Cung cấp mật khẩu mong muốn và nhấn Enter. Bạn sẽ được yêu cầu cấu hình máy chủ NTP như hiển thị bên dưới:
Nhấn Enter để chọn tùy chọn mặc định. Bạn sẽ nhận được đầu ra sau:
Nhập có và nhấn Enter để cấu hình hệ thống với các giá trị trên. Sau khi thiết lập hoàn tất, bạn sẽ nhận được đầu ra sau:
Sau khi hoàn tất, bạn có thể tiến hành bước tiếp theo.
Tiếp theo, tải lại firewalld bằng lệnh sau để áp dụng các thay đổi:
Tiếp theo, bạn cũng sẽ cần phải vô hiệu hóa SELinux trong hệ thống của mình.
Bạn có thể vô hiệu hóa SELinux bằng cách chỉnh sửa tệp /etc/selinux/config:
Tìm dòng sau:
Và thay thế bằng dòng sau:
Lưu và đóng tệp. Sau đó, khởi động lại hệ thống của bạn để áp dụng các thay đổi:
Cung cấp tên người dùng quản trị, mật khẩu và nhấp vào nút Đăng nhập vào. Bạn sẽ thấy bảng điều khiển FreeIPA ở trang sau:
Trước khi sử dụng công cụ CLI, bạn sẽ cần lấy một vé Kerberos bằng lệnh sau:
Bạn sẽ được yêu cầu cung cấp mật khẩu như hiển thị bên dưới:
Cung cấp mật khẩu quản trị viên của bạn và nhấn Enter để lấy một vé Kerberos.
Tiếp theo, chạy lệnh sau để kiểm tra ngày hết hạn của vé:
Bạn sẽ nhận được đầu ra sau:
Tiếp theo, thêm một tài khoản người dùng mới bằng lệnh sau:
Bạn sẽ nhận được kết quả sau:
Bạn cũng có thể liệt kê tất cả tài khoản người dùng trong hệ thống của mình bằng lệnh sau:
Bạn sẽ thấy đầu ra sau:
Trong hướng dẫn này, chúng tôi sẽ chỉ cho bạn cách cài đặt máy chủ FreeIPA trên CentOS 8.
Điều kiện tiên quyết
- Máy chủ chạy CentOS 8.
- Mật khẩu gốc được định cấu hình cho máy chủ.
Thiết lập Tên máy chủ
Trước tiên, bạn sẽ cần thiết lập tên máy chủ đủ điều kiện trong hệ thống của mình. Bạn có thể thiết lập bằng lệnh sau:
Mã:
hostnamectl set-hostname freeipa.mydomain10.com
Mã:
nano /etc/hosts
Mã:
45.58.43.185 freeipa.mydomain10.comCài đặt FreeIPA Máy chủ
Theo mặc định, gói FreeIPA không có trong kho lưu trữ chuẩn CentOS. Vì vậy, bạn sẽ cần bật kho lưu trữ idmL1 trong hệ thống của mình.Bạn có thể bật nó bằng lệnh sau:
Mã:
dnf module enable idm:DL1
Mã:
dnf distro-sync
Mã:
dnf install ipa-server ipa-server-dns -yThiết lập máy chủ FreeIPA
Tiếp theo, bạn sẽ cần thiết lập máy chủ FreeIPA. Bạn có thể thiết lập bằng lệnh sau:
Mã:
ipa-server-install
Mã:
Tệp nhật ký cho cài đặt này có thể được tìm thấy trong /var/log/ipaserver-install.logipa-server-installTệp nhật ký cho cài đặt này có thể được tìm thấy trong /var/log/ipaserver-install.log================================================================================Chương trình này sẽ thiết lập Máy chủ IPA.Phiên bản 4.8.4Bao gồm: * Cấu hình CA độc lập (dogtag) để quản lý chứng chỉ * Cấu hình máy khách NTP (chronyd) * Tạo và cấu hình phiên bản của Directory Server * Tạo và cấu hình Kerberos Key Distribution Center (KDC) * Cấu hình Apache (httpd) * Cấu hình KDC để bật PKINITĐể chấp nhận mặc định được hiển thị trong ngoặc, hãy nhấn phím Enter.Bạn có muốn cấu hình DNS tích hợp (BIND) không? [no]:
Mã:
Nhập tên miền đủ điều kiện của máy tínhmà bạn đang thiết lập phần mềm máy chủ. Sử dụng biểu mẫu.Ví dụ: master.example.com.Tên máy chủ của máy chủ [freeipa.mydomain10.com]:
Mã:
Tên miền đã được xác định dựa trên tên máy chủ.Vui lòng xác nhận tên miền [mydomain10.com]:
Mã:
Giao thức kerberos yêu cầu phải xác định tên Miền.Đây thường là tên miền được chuyển đổi thành chữ hoa.Vui lòng cung cấp tên miền [MYDOMAIN10.COM]:Một số hoạt động của máy chủ thư mục yêu cầu người dùng quản trị.Người dùng này được gọi là Trình quản lý thư mục và có toàn quyền truy cậpvào Thư mục để thực hiện các tác vụ quản lý hệ thống và sẽ được thêm vàophiên bản máy chủ thư mục được tạo cho IPA.Mật khẩu phải dài ít nhất 8 ký tự.Mật khẩu Trình quản lý thư mục:Mật khẩu (xác nhận):
Mã:
Máy chủ IPA yêu cầu người dùng quản trị, tên là 'admin'.Người dùng này là tài khoản hệ thống thông thường được sử dụng để quản trị máy chủ IPA.Mật khẩu quản trị viên IPA:Mật khẩu (xác nhận):
Mã:
Bạn có muốn cấu hình chrony với máy chủ NTP hoặc địa chỉ nhóm không? [không]:
Mã:
Máy chủ IPA Master sẽ được cấu hình với:Tên máy chủ: freeipa.mydomain10.comĐịa chỉ IP: 45.58.43.185Tên miền: mydomain10.comTên miền: MYDOMAIN10.COMCA sẽ được cấu hình với:DN chủ thể: CN=Certificate Authority,O=MYDOMAIN10.COMCơ sở chủ thể: O=MYDOMAIN10.COMChuỗi: tự kýTiếp tục cấu hình hệ thống với các giá trị này? [không]: có
Mã:
SSSD được bậtĐã cấu hình /etc/openldap/ldap.confĐã cấu hình /etc/ssh/ssh_configĐã cấu hình /etc/ssh/sshd_configĐang cấu hình mydomain10.com làm miền NIS.Cấu hình máy khách hoàn tất.Lệnh ipa-client-install đã thành côngkhông thể phân giải tên máy chủ freeipa.mydomain10.com. thành địa chỉ IP, bản ghi DNS ipa-ca sẽ không đầy đủkhông thể phân giải tên máy chủ freeipa.mydomain10.com. đến địa chỉ IP, bản ghi DNS ipa-ca sẽ không đầy đủVui lòng thêm bản ghi trong tệp này vào hệ thống DNS của bạn: /tmp/ipa.system.records._u0fzahd.db==============================================================================Thiết lập hoàn tấtCác bước tiếp theo: 1. Bạn phải đảm bảo các cổng mạng này được mở: Cổng TCP: * 80, 443: HTTP/HTTPS * 389, 636: LDAP/LDAPS * 88, 464: kerberos Cổng UDP: * 88, 464: kerberos * 123: ntp 2. Bây giờ bạn có thể lấy vé kerberos bằng lệnh: 'kinit admin' Vé này sẽ cho phép bạn sử dụng các công cụ IPA (ví dụ: ipa user-add) và giao diện người dùng web.Hãy đảm bảo sao lưu các chứng chỉ CA được lưu trữ trong /root/cacert.p12Những tệp này là bắt buộc để tạo bản sao. Mật khẩu cho nhữngtệp này là mật khẩu của Directory ManagerLệnh ipa-server-install đã thành côngCấu hình Tường lửa và SELinux
Nếu firewalld được cài đặt trong hệ thống của bạn, thì bạn sẽ cần cho phép một số cổng được FreeIPA sử dụng. Bạn có thể cho phép chúng bằng lệnh sau:
Mã:
firewall-cmd --add-service={http,https,dns,ntp,freeipa-ldap,freeipa-ldaps} --permanent
Mã:
firewall-cmd --reloadBạn có thể vô hiệu hóa SELinux bằng cách chỉnh sửa tệp /etc/selinux/config:
Mã:
nano /etc/selinux/config
Mã:
SELINUX=enforcing
Mã:
SELINUX=permissiveTruy cập Giao diện người dùng web FreeIPA
Bây giờ, hãy mở trình duyệt web của bạn và truy cập giao diện web FreeIPA bằng URL https://freeipa.mydomain10.com. Bạn sẽ được chuyển hướng đến trang đăng nhập FreeIPA như hiển thị bên dưới:Cung cấp tên người dùng quản trị, mật khẩu và nhấp vào nút Đăng nhập vào. Bạn sẽ thấy bảng điều khiển FreeIPA ở trang sau:
Làm việc với FreeIPA CLI
FreeIPA cũng cung cấp một công cụ dòng lệnh để thêm người dùng, nhóm, chủ thể dịch vụ mới và cấp quyền ghi vào một số thuộc tính nhất định từ nhóm này sang nhóm khác.Trước khi sử dụng công cụ CLI, bạn sẽ cần lấy một vé Kerberos bằng lệnh sau:
Mã:
kinit admin
Mã:
Mật khẩu cho [emailprotected]:Tiếp theo, chạy lệnh sau để kiểm tra ngày hết hạn của vé:
Mã:
klist
Mã:
Bộ nhớ đệm vé: KCM:0Chủ thể mặc định: [emailprotected]Dịch vụ hết hạn bắt đầu hợp lệ principal2020-09-28T03:36:54 2020-09-29T03:36:50 krbtgt/[emailprotected]
Mã:
ipa user-add user1 --first=hit --last=jethva [emailprotected] --password
Mã:
Mật khẩu:Nhập lại mật khẩu để xác minh:------------------Đã thêm người dùng "user1"------------------ Đăng nhập người dùng: user1 Tên: hit Họ: jethva Tên đầy đủ: hit jethva Tên hiển thị: hit jethva Chữ cái đầu: hj Thư mục gốc: /home/user1 GECOS: hit jethva Vỏ đăng nhập: /bin/sh Tên chính: [emailprotected] Biệt danh chính: [emailprotected] Ngày hết hạn mật khẩu người dùng: 20200928073905Z Email địa chỉ: [emailprotected] UID: 384600001 GID: 384600001 Mật khẩu: Đúng Thành viên của nhóm: ipauser Khóa Kerberos khả dụng: Đúng
Mã:
ipa user-find
Mã:
---------------2 người dùng đã khớp--------------- Đăng nhập người dùng: admin Họ: Administrator Thư mục gốc: /home/admin Shell đăng nhập: /bin/bash Bí danh chính: [emailprotected] UID: 384600000 GID: 384600000 Tài khoản bị vô hiệu hóa: False Đăng nhập người dùng: user1 Tên: hit Họ: jethva Thư mục gốc: /home/user1 Shell đăng nhập: /bin/sh Tên chính: [emailprotected] Bí danh chính: [emailprotected] Địa chỉ email: [emailprotected] UID: 384600001 GID: 384600001 Tài khoản bị vô hiệu hóa: False----------------------------Số mục trả về là 2