如何在 RHEL 8 上安裝 FreeIPA 服務器
你是否正在尋找有關如何在 Linux 上安裝 FreeIPA 服務器的簡單指南?
此頁面上的分步指南將展示如何在 RHEL 8、Rocky Linux 8 和 AlmaLinux 8 上安裝 FreeIPA 服務器。
FreeIPA 是一個自由開源的基于 Linux 系統的集中式身份和訪問管理工具,它是 Red Hat 身份管理器的上游項目。使用 FreeIPA,我們可以輕松地管理集中式身份驗證以及帳戶管理、策略(基于主機的訪問控制)和審計。
FreeIPA 基于以下開源項目:
- LDAP 服務器 – 基于 389 項目
- KDC – 基于 MIT Kerberos 實現
- 基于 Dogtag 項目的 PKI
- 用于活動目錄集成的 Samba 庫
- 基于 BIND 和 Bind-DynDB-LDAP 插件的 DNS 服務器
- NTP
先決條件
- 預裝 RHEL 8 或 Rocky Linux 8 或 AlmaLinux 8
- 具有管理員權限的 Sudo 用戶
- 內存 = 2 GB
- CPU = 2 個 vCPU
- 磁盤 = 根目錄有 12GB 可用空間
- 互聯網連接
FreeIPA 的實驗室詳細信息
- IP 地址 = 192.168.1.102
- Hostanme = ipa.linuxtechi.lan
- 操作系統:RHEL 8 或 Rocky Linux 8 或 AlmaLinux 8
事不宜遲,讓我們深入了解 FreeIPA 安裝步驟。
1、設置主機名并安裝更新
打開服務器的終端并使用 hostnamectl 命令設置主機名:
$ sudo hostnamectl set-hostname "ipa.linuxtechi.lan"
$ exec bash使用 yum/dnf 命令安裝更新,然后重新啟動:
$ sudo dnf update -y
$ sudo reboot2、更新主機文件并將 SELinux 設置為許可
運行以下 tee 命令更新 /etc/hosts 文件,根據你的設置替換 IP 地址和主機名。
$ echo -e "192.168.1.102\tipa.linuxtechi.lan\t ipa" | sudo tee -a /etc/hosts將 SELinux 設置為許可,運行以下命令:
$ sudo setenforce 0
$ sudo sed -i 's/^SELINUX=.*/SELINUX=permissive/g' /etc/selinux/config
$ getenforce
Permissive3、安裝 FreeIPA 及其組件
Appstream 包倉庫中提供了 FreeIPA 包及其依賴項。由于我們計劃安裝集成 DNS 的 FreeIPA,因此我們還將安裝 ipa-server-dns 和 bind-dyndb-ldap。
運行以下命令安裝 FreeIPA 及其依賴項:
$ sudo dnf -y install @idm:DL1
$ sudo dnf install freeipa-server ipa-server-dns bind-dyndb-ldap -y4、開始安裝 FreeIPA
成功安裝 FreeIPA 包及其依賴項后,使用以下命令啟動 FreeIPA 安裝設置。
它將提示幾件事,例如配置集成 DNS、主機名、域名和領域名。
$ sudo ipa-server-install上述命令的輸出如下所示:
在上面的窗口中輸入 “yes” 后,需要一些時間來配置你的 FreeIPA 服務器,設置成功后,我們將得到下面的輸出:
以上輸出確認 FreeIPA 已成功安裝。
5、在防火墻中允許 FreeIPA 端口
如果正在你的服務器上運行系統防火墻,那么運行如下 firewall-cmd 命令以允許 FreeIPA 端口:
$ sudo firewall-cmd --add-service={http,https,dns,ntp,freeipa-ldap,freeipa-ldaps} --permanent
$ sudo firewall-cmd --reload6、訪問 FreeIPA 管理門戶
執行下面的 ipactl 命令查看 FreeIPA 的所有服務是否都在運行:
$ ipactl status
You must be root to run ipactl.
$ sudo ipactl status
Directory Service: RUNNING
krb5kdc Service: RUNNING
kadmin Service: RUNNING
named Service: RUNNING
httpd Service: RUNNING
ipa-custodia Service: RUNNING
pki-tomcatd Service: RUNNING
ipa-otpd Service: RUNNING
ipa-dnskeysyncd Service: RUNNING
ipa: INFO: The ipactl command was successful
$讓我們使用 kinit 命令驗證管理員用戶是否會通過 Kerberos 獲取令牌,使用我們在 FreeIPA 安裝期間提供的相同管理員用戶密碼。
$ kinit admin
$ klist以上命令的輸出:
完美,上面的輸出確認管理員獲得了令牌。現在,嘗試訪問 FreeIPA Web 控制臺,在網絡瀏覽器上輸入以下 URL:
https://ipa.linuxtechi.lan/ipa/ui或者
https://<Server-IPAddress>/ipa/ui使用我們在安裝過程中指定的用戶名 admin 和密碼。
對于 FreeIPA Web 控制臺,使用自簽名 SSL 證書,這就是我們看到此窗口的原因,因此單擊“接受風險并繼續Accept the Risk and Continue”。
輸入憑據后,單擊“登錄Log in”。
這證實我們已在 RHEL 8/Rocky Linux 8 / AlmaLinux8 上成功設置 FreeIPA。
這就是全部,我希望你覺得它提供了很多信息。請在下面的評論部分中發表你的疑問和反饋。
(題圖:MJ/9df57ea0-b5a0-48f9-a323-853a28ca6162)
