FreeIPA è uno strumento di gestione dell'identità gratuito e open source, è il progetto a monte di Red Hat Identity Manager. Utilizzando lo strumento FreeIPA, possiamo gestire facilmente l'autenticazione centralizzata insieme a gestione dell'account, policy (controllo dell'accesso basato su host) e audit. FreeIPA fornisce anche servizi come DNS e PKI .
FreeIPA si basa sui seguenti progetti Open Source,
- Server directory 389 (LDAP)
- MIT Kerberos
- SSSD
- Medaglietta (sistema di certificazione)
- NTP e DNS
In questo articolo dimostreremo come installare e configurare lo strumento FreeIPA su CentOS 7 Server. Di seguito sono riportati i dettagli del mio test Lab Server (CentOS7),
- Indirizzo IP =192.168.0.102
- Hostanme =ipa.linuxtechi.lan
- RAM =2 GB
- CPU =2 vCPU
- Disco =12 GB di spazio libero su /
- Connessione Internet
Passaggio:1 Imposta il nome host statico e applica gli aggiornamenti
Imposta il nome host statico del tuo server usando il comando hostnamectl,
[[email protected] ~]# hostnamectl set-hostname "ipa.linuxtechi.lan" [[email protected] ~]# exec bash [[email protected] ~]#
Aggiorna il server usando il comando yum update e poi riavvialo
[[email protected] ~]# yum update -y;reboot
Passo:2 Aggiorna il file hosts (/etc/hosts)
Esegui il comando echo sottostante per aggiornare il file /etc/hosts, sostituisci l'indirizzo IP e il nome host secondo la tua configurazione.
[[email protected] ~]# echo -e "192.168.0.102\tipa.linuxtechi.lan\t ip" >> /etc/hosts [[email protected] ~]#
Fase:3 Installa i pacchetti FreeIPA usando il comando yum
I pacchetti FreeIPA e le sue dipendenze sono disponibili nei repository di pacchetti predefiniti. Poiché stiamo pianificando di installare il DNS integrato di FreeIPA, installeremo anche "ipa-server-dns ”
Esegui il comando seguente per installare FreeIPA e le sue dipendenze
[[email protected] ~]# yum install ipa-server ipa-server-dns -y
Fase:4 Avvia la configurazione dell'installazione di FreeIPA utilizzando "ipa-server-install"
Una volta che i pacchetti sono stati installati correttamente, utilizzare il comando seguente per avviare la configurazione dell'installazione di freeipa,
Richiederà un paio di cose come configurare il DNS integrato, il nome host, il nome di dominio e il nome del dominio
[[email protected] ~]# ipa-server-install
L'output del comando sopra sarebbe qualcosa come sotto
Dopo aver premuto Sì nella finestra sopra, ci vorrà del tempo per configurare il tuo server FreeIPA e una volta che è stato impostato correttamente, otterremo un output simile a quello di seguito,
L'output sopra conferma che è stato installato correttamente.
Esegui il comando seguente per consentire la creazione automatica della directory home dell'utente dopo l'autenticazione (o l'accesso)
[[email protected] ~]# authconfig --enablemkhomedir --update [[email protected] ~]#
Nota: Nel caso in cui vengano visualizzati gli errori seguenti durante l'installazione di FreeIPA sul server CentOS 7,
............. [error] CalledProcessError: Command '/bin/systemctl start certmonger.service' returned non-zero exit status 1 ipa.ipapython.install.cli.install_tool(CompatServerMasterInstall): ERROR Command '/bin/systemctl start certmonger.service' returned non-zero exit status 1 ipa.ipapython.install.cli.install_tool(CompatServerMasterInstall): ERROR The ipa-server-install command failed. See /var/log/ipaserver-install.log for more information .................
Questo sembra essere un problema noto su CentOS 7, quindi per risolverlo abbiamo riavviato il servizio dbus (servizio dbus restart) e disinstallato freeipa usando il comando "ipa-server-install –uninstall" e poi riproviamo ad installare.
Passaggio:5 Consenti le porte FreeIPA in OS Firewall
Nel caso in cui il firewall del sistema operativo sia in esecuzione sul tuo server centos 7, esegui i comandi firewall-cmd sottostanti per consentire o aprire le porte per FreeIPA,
[[email protected] ~]# firewall-cmd --add-service=freeipa-ldap success [[email protected] ~]# firewall-cmd --add-service=freeipa-ldap --permanent success [[email protected] ~]# firewall-cmd --reload success [[email protected] ~]#
Fase:6 Verifica e accedi al portale di amministrazione di FreeIPA
Usa il comando seguente per verificare se tutti i servizi di FreeIPA sono in esecuzione o meno
[[email protected] ~]# ipactl status Directory Service: RUNNING krb5kdc Service: RUNNING kadmin Service: RUNNING named Service: RUNNING httpd Service: RUNNING ipa-custodia Service: RUNNING ntpd Service: RUNNING pki-tomcatd Service: RUNNING ipa-otpd Service: RUNNING ipa-dnskeysyncd Service: RUNNING ipa: INFO: The ipactl command was successful [[email protected] ~]#
Verifichiamo se l'utente amministratore riceverà token tramite Kerberos utilizzando il comando kinit, utilizza la stessa password dell'utente amministratore che abbiamo fornito durante l'installazione di FreeIPA.
[[email protected] ~]# kinit admin Password for [email protected]: [[email protected] ~]# klist Ticket cache: KEYRING:persistent:0:0 Default principal: [email protected].LAN Valid starting Expires Service principal 11/26/2018 07:39:00 11/27/2018 07:38:55 krbtgt/[email protected] [[email protected] ~]#
Accedi al portale di amministrazione di FreeIPA utilizzando l'URL:
https://ipa.linuxtechi.lan/ipa/ui
Utilizza il nome utente come amministratore e la password che specifichiamo durante l'installazione.
Clicca su Accedi
Ciò conferma che abbiamo configurato correttamente FreeIPA su CentOS 7 Server. Conclude anche l'articolo, per favore condividi il tuo feedback e commenti.
Ulteriori informazioni su:Come configurare il client FreeIPA su Ubuntu 18.04 / CentOS 7 per centralizzare l'autenticazione