- A+
FreeIPA是一个免费的开源身份管理工具,它是Red Hat身份管理器的上游项目。使用FreeIPA工具,我们可以轻松管理集中身份验证以及帐户管理,策略(基于主机的访问控制)和审计。FreeIPA还提供DNS和PKI等服务。
FreeIPA基于以下开源项目,
- 389目录服务器(LDAP)
- MIT Kerberos
- SSSD
- Dogtag(证书系统)
- NTP和DNS
在本文中,我们将演示如何在CentOS 7 Server上安装和配置FreeIPA工具。以下是我的测试实验室服务器(CentOS7)的详细信息,
- IP地址= 192.168.0.102
- Hostanme = ipa.linuxtechi.lan
- RAM = 2 GB
- CPU = 2 vCPU
- 磁盘= 12 GB可用空间/
- 网络连接
步骤:1设置静态主机名并应用更新
使用hostnamectl命令设置服务器的静态主机名,
[root@localhost ~]# hostnamectl set-hostname "ipa.linuxtechi.lan" [root@localhost ~]# exec bash [root@ipa ~]#
使用yum update命令更新服务器,然后重新启动它
[root@ipa ~]# yum update -y;reboot
步骤:2更新hosts文件(/etc/hosts)
运行以下echo命令更新/ etc / hosts文件,根据您的设置替换IP地址和主机名。
[root@ipa ~]# echo -e "192.168.0.102\tipa.linuxtechi.lan\t ip" >> /etc/hosts [root@ipa ~]#
步骤:3使用yum命令安装FreeIPA软件包
FreeIPA软件包及其依赖项在默认软件包存储库中可用。由于我们计划安装FreeIPA的集成DNS,因此我们还将安装“ ipa-server-dns ”
运行以下命令以安装FreeIPA及其依赖项
[root@ipa ~]# yum install ipa-server ipa-server-dns -y
步骤:4使用“ipa-server-install”启动FreeIPA安装设置
成功安装软件包后,使用以下命令启动freeipa安装设置,
它将提示诸如配置集成DNS,主机名,域名和域名等几项内容
[root@ipa ~]# ipa-server-install
上面命令的输出如下所示
在上面的窗口中按yes后,配置FreeIPA服务器需要一些时间,一旦设置成功,我们将获得如下输出,
以上输出确认已成功安装。
运行以下命令以允许在身份验证(或登录)后自动创建用户的主目录
[root@ipa ~]# authconfig --enablemkhomedir --update [root@ipa ~]#
注意:如果您在CentOS 7服务器上安装FreeIPA时遇到以下错误,
............. [error] CalledProcessError: Command '/bin/systemctl start certmonger.service' returned non-zero exit status 1 ipa.ipapython.install.cli.install_tool(CompatServerMasterInstall): ERROR Command '/bin/systemctl start certmonger.service' returned non-zero exit status 1 ipa.ipapython.install.cli.install_tool(CompatServerMasterInstall): ERROR The ipa-server-install command failed. See /var/log/ipaserver-install.log for more information .................
这似乎是CentOS 7上已知的问题,所以为了解决这个问题,我们重新启动dbus服务(service dbus restart)并使用命令“ipa-server-install -uninstall”卸载freeipa,然后再次尝试安装。
步骤:5在OS防火墙中允许FreeIPA端口
如果操作系统防火墙在您的centos 7服务器上运行,则运行firewall-cmd下面的命令以允许或打开FreeIPA的端口,
[root@ipa ~]# firewall-cmd --add-service=freeipa-ldap success [root@ipa ~]# firewall-cmd --add-service=freeipa-ldap --permanent success [root@ipa ~]# firewall-cmd --reload success [root@ipa ~]#
步骤:6验证和访问FreeIPA管理门户
使用以下命令检查FreeIPA的所有服务是否正在运行
[root@ipa ~]# ipactl status Directory Service: RUNNING krb5kdc Service: RUNNING kadmin Service: RUNNING named Service: RUNNING httpd Service: RUNNING ipa-custodia Service: RUNNING ntpd Service: RUNNING pki-tomcatd Service: RUNNING ipa-otpd Service: RUNNING ipa-dnskeysyncd Service: RUNNING ipa: INFO: The ipactl command was successful [root@ipa ~]#
让我们验证管理员用户是否会使用kinit命令通过Kerberos获取令牌,使用我们在FreeIPA安装期间提供的admin用户相同的密码。
[root@ipa ~]# kinit admin Password for admin@LINUXTECHI.LAN: [root@ipa ~]# klist Ticket cache: KEYRING:persistent:0:0 Default principal: admin@LINUXTECHI.LAN Valid starting Expires Service principal 11/26/2018 07:39:00 11/27/2018 07:38:55 krbtgt/LINUXTECHI.LAN@LINUXTECHI.LAN [root@ipa ~]#
使用URL访问FreeIPA管理门户:
HTTPS://ipa.linuxtechi.lan/ipa/ui
使用用户名作为admin以及我们在安装期间指定的密码。
Click on Login
- 安卓客户端下载
- 微信扫一扫
- 微信公众号
- 微信公众号扫一扫