FreeIPA står for gratis identiteten Regler Audit.
FreeIPA er en løsning for administrasjon av brukere, grupper, verter, tjenester og mye, mye mer. Den bruker åpen kildekode-løsninger med noen Python lim for å gjøre ting fungerer. Identity Management gjort enkelt for Linux administrator
Inside FreeIPA er noen vanlige brikker.; Apache webserver, BIND, 389DS, og MIT Kerberos. I tillegg er Dogtag brukes for sertifikatadministrasjon, og sssd for klientsiden konfigurasjoner. Sett at alt sammen med noen python lim, og du har FreeIPA.
Installasjon
Installere FreeIPA er enkel på et Linux-system. Men det er et par ting som er nødvendig. Denne installasjonen blir utført på en helt oppdatert CentOS 7.0 system. En oppføring i /etc /hosts matching server ip og vertsnavn er nyttig. Dessuten, sørg for å sette vertsnavnet riktig
ekko 192.168.122.200 ipa7.example.com ipa7 >. ≫ /etc /hostsecho ipa7.example.com > /etc /hostnameThis tid, vil vi installere gratis IPA server. Men det er en klient-server installasjon også. Vi vil se at en del på senere innlegg. Det anbefales å bruke RHEL /CentOS > = 6.x eller Fedora > = 14. Bare utføre en yum install plakater (RHEL /CentOS) # yum install ipa-server (fedora) # yum install freeipa-serverSince FreeIPA. kan administrere en dns server, må det tas en beslutning. Her skal vi velge å administrere vår interne dns med FreeIPA, som bruker LDAP via 389DS å lagre postene.
Yum install bind-dyndb-ldapipa-server-installere --setup-dns
Loggfilen for denne installasjon kan bli funnet i /var/log/ipaserver-install.log==============================================================================This Programmet vil sette opp IPA server.This inkluderer: * Sette en frittstående CA (dogtag) for sertifikatbehandling * Konfigurer Network Time Daemon (ntpd) * Opprette og konfigurere en forekomst av Directory Server * Opprette og konfigurere en Kerberos Key Distribution senter (KDC) * Sette Apache (httpd) * Sette opp DNS (bind) For å godta standard i parentes, trykk på Enter key.WARNING: motstridende tid & dato synkroniseringstjeneste 'chronyd "vil være disabledin favør av ntpdExisting BIND konfigurasjon oppdaget, skrive? [no]:. yesNext, definere serververtsnavn, og domenenavnet (for DNS) Anmeldelser Skriv inn fullt kvalifiserte domenenavnet for datamaskin på hvilken du konfigurerer serverprogramvaren. Ved hjelp av skjemaet < hostname > < domenenavn > Eksempel:. Master.example.com.Server vertsnavn [ipa7.example.com]: ipa7.example.comWarning: hoppe DNS oppløsning på verts ipa7.example.comThe domenenavn har vært fastsettes på grunnlag av verts name.Please bekrefte domenenavnet [example.com]: example.comNext delen dekker Kerberos riket, Dette kan virke forvirrende, men Kerberos er en av de viktigste bak FreeIPA. Det gjør du registrerer klientsystemer svært enkel. Kerberos-område navnene er alltid stor bokstav. . Vanligvis, de etterligne domenenavnet
Kerberos-protokollen krever en Realm navn å være defined.This typisk domenenavnet konvertert til uppercase.Please gi et rike navn [EXAMPLE.COM]: EXAMPLE.COMNext trinnet er å konfigurere passord for Directory Manager (for ldap administrasjon) og IPA administrator.
Visse katalogen serverdrift krever en administrativ user.This brukeren er referert til som den Directory Manager og har full accessto katalogen for systemadministrasjonsoppgaver og vil være lagt til theinstance av katalogserver opprettet for IPA.The passord må være minst 8 tegn long.Directory sjef passord: manager72Password (bekrefte): manager72The IPA serveren krever en administrativ bruker, kalt 'admin'.This bruker er en vanlig systemkonto brukt for IPA server administration.IPA admin passord ipaadmin72Password (bekreft): ipaadmin72Next, vil installasjonsprogrammet ber om mer DNS info
Ønsker du å konfigurere DNS bærere.? [ja]: yesEnter IP-adressen til DNS forwarder å bruke, eller trykk Enter for å finish.Enter IP-adressen til en DNS forwarder: 8.8.8.8DNS forwarder 8.8.8.8 addedEnter IP-adressen til en DNS forwarder: 8.8.4.4DNS forwarder 8.8 .4.4 addedEnter IP-adressen til en DNS forwarder: < skriv > Ønsker du å konfigurere reverse sonen? [ja]: yesPlease angi omvendt sonenavnet [122.168.192.in-addr.arpa.]: 122.168.192.in-addr.arpaUsing reverse zone 122.168.192.in-addr.arpa.Now, Vårt del ferdig vil Installer gjøre resten. En bekreftelse vise utskrifter ut alle verdiene angitt. . Sørg for å vurdere dem nøye
IPA Master Server vil bli konfigurert med: Vertsnavn: ipa7.example.comIP adresse: 192.168.122.200Domain navn: example.comRealm navn: EXAMPLE.COMBIND DNS-serveren vil bli konfigurert til å tjene IPA domene med: Transportører: 8.8.8.8, 8.8.4.4Reverse sone: 122.168.192.in-addr.arpa.Now ta litt hvile, tar Installasjon alt fra 10-30 minutter
Fortsett å konfigurere systemet med disse verdiene. ? [no]: yesThe Følgende operasjoner kan ta noen minutter å complete.Please vente til teksten returned.Configuring NTP daemon (ntpd) [1/4]: stopper ntpd [2/4]: skrive konfigurasjon [3/4]: konfigurering ntpd å starte ved oppstart [4/4]:. starter ntpd ....... Når fullført, gir installasjons noen av nyttig informasjon om portene som skal åpnes
Setup completeNext trinn: 1. Du må sørge for at disse nettverksportene er åpne: TCP-porter: * 80, 443: HTTP /HTTPS * 389, 636: LDAP /LDAPS * 88, 464: Kerberos * 53: binde UDP-porter: * 88, 464: Kerberos * 53: bind * 123: NTP 2. Du kan nå få en Kerberos billett ved hjelp av kommandoen: 'kinit admin' Denne billetten vil tillate deg å bruke IPA verktøy (f.eks ipa bruker add) og web brukeren interface.Be sørge for å sikkerhetskopiere CA-sertifikatet lagret i /root/cacert.p12This filen er nødvendig for å lage kopier. Passordet for thisfile er Directory Manager passwordConfigure brannmuren:
brannmur-cmd --permanent --add-service = ntpfirewall-cmd --permanent --add-service = httpfirewall-cmd --permanent --add-tjeneste = httpsfirewall-cmd --permanent --add-service = ldapfirewall-cmd --permanent --add-service = ldapsfirewall-cmd --permanent --add-service = kerberosfirewall-cmd --permanent --add-service = kpasswduse authconfig
å sikre hjemmekataloger blir opprettet. Etterfulgt av en rask omstart
authconfig --enablemkhomedir --updatechkconfig sssd onNote. Forwarding forespørsel til 'systemctl aktivere sssd.service'.init 6Logging inn FreeIPA kan gjøres på to forskjellige måter; fra nettleseren, eller via Kerberos. For nå, logg inn via nettleseren som administrator.
Etter logg inn, trenger vi å endre standard shell for alle brukere til /bin /bash. Dette gjøres ved å velge IPA Server Anmeldelser - > Configuration
. Når endret, klikker du Oppdater
.
Nå er det på tide å legge til en bruker. Velg fanen Identity
. Deretter klikker du Legg
.
Klikke legge til og redigere
presenterer brukerens data. Dette er nyttig for å legge en ssh nøkkel.
Ikke glem å klikke Oppdater
etter innstilling nøkkelen.
Dette vil nå tillate ssh inn i FreeIPA server som ny bruker. For dette bør vi konfigurert FreeIPA serveren som en resolver. Den enkleste måten er å oppdatere /etc/resolv.conf
fil.
Katt /etc/resolv.confsearch egavas.orgnameserver 192.168.122.200 ...... vert ipa7.example.comipa7. example.com har adresse 192.168.122.200Once den FreeIPA serveren løses, ssh vil nå arbeide.
[jijoo @ x220 ~] $ ssh ipa7.example.comThe ektheten av vertens ipa7.example.com (192.168.122.200) "kan ikke være established.ECDSA Fingeravtrykket er 42: 96: 09: a7: 1b: ac: df: dd: 1c: de: 73: 2b: 86: 51: 19: b1.Are du sikker på at du vil fortsette tilkobling (ja /nei)? yesWarning: Permanent lagt 'ipa7.example.com' (ECDSA) til listen over kjente hosts.Creating hjemmekatalog for herlo.Last innlogging: To 8 januar 02:27:44 2014 fra 112.133.198.126 [jijo @ ipa7 ~] $ iduid = 151600001 (herlo) gid = 151600001 (herlo) grupper = 151600001 (herlo) kontekst = unconfined_u: unconfined_r: unconfined_t: s0-s0:. c0.c102Well gjort, FreeIPA serveren er nå konfigurert
Cheers !! Se deg gutter med neste innlegg.