,, freeipa,   står for  , frie,  , jeg dentity  , p, olicy  , en, udit., freeipa er en opløsning til forvaltning af brugere, grupper, værter, tjenesteydelser, og meget, meget mere.den bruger open source - løsninger med en pyton lim, at få det til at fungere.identitetskontrol let til linux administrator. i freeipa er nogle fælles stykker; apacherne webserver, bind, 389ds, og mit kerberos.desuden hundetegn anvendes til certifikat forvaltning, og sssd kunders side sammensætninger.sæt det hele sammen med en pyton lim, og du har freeipa., installation, montering af freeipa er simpel på linux - system.der er imidlertid et par ting, der er nødvendige.dette anlæg er blevet udført på en fuldt opdateret centos 7,0 system.en indgang i /etc /værter matching - up og hostname er nyttig.desuden sørge for, at der hostname ordentligt. echo 192.168.122.200 ipa7.example.com ipa7 > > /etc /værter echo ipa7.example.com > /etc /hostname, denne gang, vi vil indføre fri ipa - server.men der er en klient - anlæg.vi vil se den del af senere stillinger.   det anbefales at bruge rhel /centos > = 6. x eller hat > = 14.kun udføre en yum installere. (rhel /centos)&#yum installere ipa - serveren (hat)&#yum installere freeipa server, da freeipa kan forvalte en dns - server - en beslutning, der skal træffes.her skal vi vælge at forvalte vores interne dns med freeipa, der anvender ldap via 389ds opbevarer optegnelser, yum installere binder dyndb ldap, ipa - installere - fælde dns, log filen for dette anlæg kan findes i /var /log /ipaserver-install.log ============================================================================== dette program vil oprette ipa - server.dette omfatter: * skabes en selvstændig ca (hundetegn) certifikat forvaltning * konfigurere netværket tid dæmon (ntpd) * skabe og få et tilfælde af adresseregister server * skabe og skabe et kerberos centrale distributions center (kdc) * konfigurere apache (httpd) * konfigurere dns (bind), til at acceptere den misligholdelse, er anført i parentes. tryk på enter.advarsel: modstridende tid & dato synkronisering service "chronyd" vil være handicappede i tjeneste i ntpd eksisterende binder konfiguration, der påvises, træder i stedet for?[ikke]: ja, næste, definere den server hostname og domænenavnet (dns), træder fuldt kvalificerede domænenavn på den computer, som du opretter server - software.ved anvendelse af den formular, < hostname >. < domainname > f.eks.: master.example.com.server vært navn [ipa7. f.eks. kom]:, ipa7.example.com, advarsel: dropper dns resolution af vært ipa7.example.com domænenavnet er blevet fastlagt på grundlag af værtslandets navn.bekræft, at domænenavnet [f.eks. kom]: f.eks. kom, næste afsnit omfatter kerberos rige,   dette kan virke forvirrende, men kerberos er en af de vigtigste   bag freeipa.det gør registrering af klient - systemer er meget enkelt.kerberos rige navne er altid der.de plejer at efterligne domænenavnet., kerberos protokollen kræver et rige navn skal defineres.det er typisk domænenavnet omdannet til store.angiv et rige navn [f.eks. kom]: f.eks. kom, næste skridt er konfigurere passwords for registerføreren (ldap administration) og ipa admin. visse adresseregister server aktiviteter, kræve en administrativ bruger.denne bruger, der kaldes registerføreren og har fuld adgang til registret for system forvaltningsopgaver og vil blive føjet til de tilfælde af adresseregister server oprettet for ipa.koden skal være mindst 8 tegn.registerføreren kodeord:, manager72, kodeord (bekræfter):, manager72, ipa - kræver en administrativ bruger, der hedder "administration".denne bruger, er en regelmæssig system konto anvendes til ipa - administration.ipa admin kodeord:, ipaadmin72, kodeord (bekræfter):, ipaadmin72, dernæst installatøren vil spørger   mere dns - info. ønsker du at konfigurere dns speditører?[det]:, ja, ind i ip - adresse af dns speditør til brug eller trykke enter til slut.træde ip - adresse til dns speditør:, 8.8.8.8, dns speditør 8.8.8.8 lægges ind i ip - adresse til dns speditør:, 8.8.4.4, dns speditør 8.8.4.4 lægges ind i ip - adresse til dns speditør:, < træde >, vil du få det modsatte?- ja. ja, angives den omvendte zonens navn [122.168.192. i adr. arpa.]:, 122.168.192.in-addr.arpa med omvendt zone 122.168.192. i adr. arpa. nu, vores del er afsluttet, montør vil gøre resten.   verifikation skridt fingeraftryk ud alle de værdier, der er angivet.sørg for at undersøge dem omhyggeligt, ipa - mester - serveren vil være konfigureret med: hostname: ipa7.example.com ip - adresse: 192.168.122.200 domain name: example.com rige navn: example.com binder dns - server er konfigureret til at tjene ipa - område: speditører: 8.8.8.8, 8.8.4.4 vende område: 122.168.192. i adr. arpa, hvil dig nu. tager nogen steder fra 10 - 30 minutter, anlæg. fortsat konfigurere systemet med disse værdier.[ikke]: ja, følgende operationer kan tage nogle minutter til at gennemføre.vent, til hurtig er vendt tilbage.konfigureringen ntp dæmon (ntpd) [1 /4]: at stoppe ntpd [2 /4]: skriftligt konfiguration [3 /4]: konfigureringen af ntpd begynder den støvle [4 /4]: fra ntpd..., når komplet,   anlæg giver nogle   nyttige oplysninger om de havne, der bør åbnes., har fuldstændig næste skridt:      1.du skal sikre, at disse netværk havne er åbne:          tcp havne:           * 80 443http: /    https       * 389 636: ldap /ldaps           * 88, 464: kerberos           * 53: bind          udp - havne:           * 88, 464: kerberos           * 53: bind           * 123: ntp      2.nu kan du få en kerberos billet ved hjælp af kommandoen: "kinit administration"        billetten, vil gøre det muligt at anvende ipa - værktøjer (f.eks. ipa - bruger tilføje)        og nettet brugergrænseflade.vær sikker på at bakke op om de ca. certifikat opbevares i /root /cacert.p12 denne sag, er forpligtet til at skabe kopier.kodeordet for denne sag er registerføreren kodeord, få en firewall, firewall cmd - permanent - tilføje service = ntp firewall cmd - permanent - tilføje service = http firewall cmd - permanent - tilføje service = https firewall cmd - permanent - tilføje service = ldap firewall cmd - permanent - tilføje service = ldaps firewall cmd... fast - - tilføje service = kerberos firewall cmd - permanent - tilføje service = kpasswd, anvendelse  , authconfig,   at sikre hjem vejvisere har skabt.efterfulgt af en hurtig genstart., authconfig... enablemkhomedir - ajourføring chkconfig sssd på note: fremsendelse af anmodning om at "systemctl, at sssd. service.lokalitet 6, skovning i freeipa kan gøres på to måder: fra browser, eller via kerberos.for nu, ind via webbrowser som admin.,,, efter at logge ind, er vi nødt til at   ændre misligholdelse skal for alle brugere til  , /bin /fest.dette er gjort ved at vælge   ipa - server   - >, konfiguration.endnu en modificeret, klik  , ajourføre,.,,, nu er det tid til at tilføje en bruger.vælg den  , identitet,   regning.så klik   tilføje,.,,, du  , tilføje og redigere   er brugerens data.det er nyttigt for at være vigtige.,,, glem ikke at klik  , ajourføre,   efter at have nøglen. det vil   tillade ssh i freeipa server, som den nye bruger.for dette bør vi konfigureret den freeipa server, som resolver.den enkleste måde er at ajourføre  , /etc /resolv. conf,   fil. cat /etc /resolv. conf - egavas.org nameserver 192.168.122.200...ipa7.example.com, vært, ipa7.example.com har adresse 192.168.122.200, når freeipa server er opløselige, shh vil nu arbejde., [jijoo @ x220 ~] $, shh ipa7.example.com, ægtheden af vært "ipa7.example.com (192.168.122.200) ikke kan fastslås.ecdsa centrale fingeraftryk er 42:96:09: a7:1b: ac: df: dd: 10: de: 73:2b: 86:51:19: b1.er du sikker på, du ønsker at fortsætte med at forbinde (ja /nej).ja, advarsel: indsættes permanent "ipa7. f.eks. kom (ecdsa) på den liste over kendte værtsplanter.at skabe hjem adresseregister for herlo.sidste login tor jan 8 02:27:44 2014 fra 112.133.198.126 [jijo @ ipa7 ~] $, id, nævnte = 151600001 (herlo) gid = 151600001 (herlo) grupper = 151600001 (herlo) forbindelse = unconfined_u: unconfined_r: unconfined_t: s0-s0: c02. c102, godt gjort, freeipa server er konfigureret. skål!!!, vi ses næste post.