如何在Red Hat Linux上安装和配置FreeIPA

目的

我们的目标是在Red Hat Enterprise Linux上安装和配置独立的FreeIPA服务器。

操作系统和软件版本

操作系统：Red Hat Enterprise Linux 7.5软件：FreeIPA 4.5.4-10

要求

对目标服务器，可用软件存储库的特权访问。

约定

＃- 要求使用root权限直接以root用户或使用命令执行给定的linux特性命令sudo命令$- 给定的linux命令作为常规非特权用户执行

介绍

FreeIPA主要是一个目录服务，您可以在其中存储有关您的用户的信息，以及他们有关登录，成为root用户的权限，或者只是在加入FreeIPA域的系统上以root用户身份运行特定命令等等。虽然这是该服务的主要特性，但是有一些非常有用的可选组件，如DNS和PKI - 这使得FreeIPA成为基于Linux的系统中必不可少的基础结构部分。它有一个很好的基于Web的GUI和强大的命令行界面。

在本教程中，我们将了解如何在Red Hat Enterprise Linux 7.5上安装和配置独立的FreeIPA服务器。但请注意，在生产系统中，建议您至少再创建一个副本以提供高可用性。我们将在具有2个CPU内核和2 GB RAM的虚拟机上托管该服务 - 在大型系统上，您可能希望添加更多资源。我们的实验室机器运行RHEL 7.5，基本安装。让我们开始吧。

安装和配置FreeIPA服务器非常简单 - 问题在于规划。您应该考虑要使用的软件堆栈的哪些部分，以及您希望运行这些服务的环境是什么。由于FreeIPA可以处理DNS，如果您从头开始构建系统，将整个DNS域提供给FreeIPA可能是有用的，其中所有客户端计算机将调用用于DNS的FreeIPA服务器。此域可以是您的基础结构的子域，您甚至可以仅为FreeIPA服务器设置子域 - 但请仔细考虑这一点，因为您以后无法更改域。不要使用现有域，FreeIPA需要认为它是给定域的主人（安装程序将检查域是否可以解析，以及它是否具有其他的SOA记录）。

PKI是另一个问题：如果您的系统中已有CA（证书颁发机构），则可能需要将FreeIPA设置为从属CA.在Certmonger的帮助下，FreeIPA能够自动更新客户端证书（如Web服务器的SSL证书），这可以派上用场 - 但如果系统没有面向Internet的服务，您可能不需要FreeIPA的PKI服务一点都不这一切都取决于用例。

在本教程中，规划已经完成。我们希望建立一个新的测试实验室，因此我们将安装和配置FreeIPA的所有功能，包括带有自签名CA证书的DNS和PKI。FreeIPA可以为我们生成这个，无需使用openssl等工具创建。

要求

首先应该设置的是服务器的可靠NTP源（FreeIPA也将充当NTP服务器，但自然需要源），并且服务器/etc/hosts文件中的条目指向自身：

# cat /etc/hosts127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4::1 localhost localhost.localdomain localhost6 localhost6.localdomain6192.168.122.147rhel7.rhel7

主机文件中提供的主机名必须是机器的FQDN。

# hostnamerhel7.

这是重要的一步，不要错过它。网络文件中需要相同的主机名：

# grep HOSTNAME /etc/sysconfig/networkHOSTNAME=rhel7.

安装包

所需的软件包含在Red Hat Enterprise Linux服务器ISO映像或订阅频道中，无需其他存储库。在此演示中，有一个本地存储库集，其中包含ISO映像的内容。软件堆栈捆绑在一起，因此单个yum命令将执行：

# yum install ipa-server ipa-server-dns

在基本安装上，yum将提供一长串依赖项，包括Apache Tomcat，Apache Httpd，389-ds（LDAP服务器）等。完成yum后，打开防火墙上所需的端口：

# firewall-cmd --add-service=freeipa-ldapsuccess# firewall-cmd --add-service=freeipa-ldap --permanentsuccess

建立

现在让我们设置我们的新FreeIPA服务器。这需要时间，但是当安装程序要求参数时，您只需要第一部分。大多数参数可以作为参数传递给安装程序，但我们不会给出任何参数，这样我们就可以从之前的设置中受益。

＃ipa-server-install可以在/var/log/ipaserver-install.log中找到此安装的日志文件================================================== ============================该程序将设置IPA服务器。这包括：*配置独立CA（dogtag）以进行证书管理*配置网络时间守护进程（ntpd）*创建和配置Directory Server的实例*创建和配置Kerberos密钥分发中心（KDC）*配置Apache（httpd）*配置KDC以启用PKINIT要接受括号中显示的默认值，请按Enter键。警告：将禁用冲突的时间和日期同步服务'chronyd'赞成ntpd##我们将使用集成的DNS服务器要配置集成DNS（BIND）吗？[不]：是的输入计算机的完全限定域名你正在设置服务器软件。使用表格<主机名>。<域名>示例：。##按'enter'表示我们接受手镯中的默认值##这就是我们为主机设置合适的FDQN的原因服务器主机名[rhel7.]： 警告：跳过主机rhel7.的DNS解析域名已根据主机名确定。##现在我们不必输入/粘贴域名##并且安装程序不需要尝试设置主机的名称请确认域名[]： kerberos协议要求定义领域名称。这通常是转换为大写的域名。## Kerberos域从域名映射请提供领域名称[]： 某些目录服务器操作需要管理用户。此用户称为目录管理员，具有完全访问权限到系统管理任务的目录，并将添加到为IPA创建的目录服务器实例。密码长度必须至少为8个字符。## Directory Manager用户用于低级操作，如创建副本目录管理员密码： ##在生产环境中使用非常强大的密码！确认密码）： IPA服务器需要一个名为“admin”的管理用户。此用户是用于IPA服务器管理的常规系统帐户。## admin是FreeIPA系统的“根” - 但不是LDAP目录IPA管理员密码： 确认密码）： 检查DNS域名。，请稍候...##我们可以设置转发器，但也可以稍后设置您要配置DNS转发器吗？[是]：不没有配置DNS转发器您想搜索缺失的反向区域吗？[是]：不IPA主服务器将配置为：主机名：rhel7.IP地址：192.168.122.147域名：领域名称：BIND DNS服务器将配置为服务于IPA域：货代：没有货运代理远期政策：仅限反向区域：无反向区域继续使用这些值配置系统？[不]：是的##此时安装程序将自行运行，##并在几分钟内完成整个过程。咖啡的最佳时间。以下操作可能需要几分钟才能完成。请等待，直到返回提示。配置NTP守护程序（ntpd）[1/4]：停止ntpd ...

安装程序的输出相当长，您可以看到所有组件都已配置，重新启动和验证。在输出结束时，需要一些完整功能所需的步骤，但不适用于安装过程本身。

... ipa-client-install命令成功================================================== ============================设置完成下一步：1.您必须确保这些网络端口已打开：TCP端口：* 80,443：HTTP / HTTPS* 389,636：LDAP / LDAPS* 88,464：kerberos* 53：绑定UDP端口：* 88,464：kerberos* 53：绑定* 123：ntp2.您现在可以使用以下命令获取kerberos票：'kinit admin'此票证允许您使用IPA工具（例如，ipa用户添加）和Web用户界面。请务必备份存储在/root/cacert.p12中的CA证书创建副本需要这些文件。这些密码files是目录管理员密码

正如安装程序所指出的那样，请务必备份CA证书，并在防火墙上打开其他所需端口。

现在让我们在登录时启用主目录创建：

＃authconfig --enablemkhomedir --update

验证

如果我们有一个工作服务堆栈，我们可以开始测试。让我们测试一下我们是否可以为admin用户获取Kerberos票证（在安装期间给管理员用户提供密码）：

#kinit adminadmin@的 密码：#klist票证缓存：KEYRING：persistent：0：0默认主体：admin@有效的起始过期服务主体-06-24 21.44.30 -06-25 21.44.28 krbtgt / @

主机注册到我们的新域中，默认规则授予对所有已注册主机的上述创建的管理员用户的ssh访问权限。让我们通过打开与localhost的ssh连接来测试这些规则是否按预期工作：

# ssh admin@localhostPassword: Creating home directory for admin.Last login: Sun Jun 24 21:41:57 from localhost$ pwd/home/admin$ exit

我们来检查整个软件堆栈的状态：

# ipactl statusDirectory Service: RUNNINGkrb5kdc Service: RUNNINGkadmin Service: RUNNINGnamed Service: RUNNINGhttpd Service: RUNNINGipa-custodia Service: RUNNINGntpd Service: RUNNINGpki-tomcatd Service: RUNNINGipa-otpd Service: RUNNINGipa-dnskeysyncd Service: RUNNINGipa: INFO: The ipactl command was successful

并且 - 使用之前获得的Kerberos票证 - 使用CLI工具询问有关管理员用户的信息：

# ipa user-find admin--------------1 user matched--------------User login: adminLast name: AdministratorHome directory: /home/adminLogin shell: /bin/bashPrincipal alias: admin@UID: 630200000GID: 630200000Account disabled: False----------------------------Number of entries returned 1----------------------------

最后，使用admin用户的凭据登录基于Web的管理页面（运行浏览器的计算机必须能够解析FreeIPA服务器的名称）。使用HTTPS，如果使用普通HTTP，服务器将重定向。当我们安装自签名根证书时，浏览器会向我们发出警告。

FreeIPA WUI的登录页面

登录后的默认页面显示我们的用户列表，现在只显示管理员用户。

登录后的默认页面是FreeIPA WUI中的用户列表

有了这个，我们完成了目标，我们有一个正在运行的FreeIPA服务器，随时可以填充用户，主机，证书和各种规则。

参考英文原文：/how-to-install-and-configure-freeipa-on-red-hat-linux