Jak zainstalować i skonfigurować FreeIPA na Red Hat Linux

Cel

Naszym celem jest zainstalowanie i skonfigurowanie samodzielnego serwera FreeIPA na Red Hat Enterprise Linux.

Wersje systemu operacyjnego i oprogramowania

• System operacyjny: Red Hat Enterprise Linux 7.5
• Oprogramowanie: Freeipa 4.5.4-10

Wymagania

Uprzywilejowany dostęp do docelowego serwera, dostępne repozytorium oprogramowania.

Trudność

ŚREDNI

Konwencje

• # - Wymaga, aby podane polecenia Linux są wykonywane z uprawnieniami root bezpośrednio jako użytkownik root lub za pomocą sudo Komenda
• $ - Biorąc pod uwagę polecenia Linux, które mają być wykonywane jako zwykły użytkownik niepewny

Wstęp

FreeIPA to głównie usługa katalogu, w której można przechowywać informacje o swoich użytkownikach, a ich prawa dotyczące logowania, stać się rootem lub po prostu uruchomić określone polecenie jako root w twoich systemach, które są dołączone do Twojej domeny Freeipa i wiele innych. Chociaż jest to główna funkcja usługi, istnieją opcjonalne komponenty, które mogą być bardzo przydatne, takie jak DNS i PKI - to sprawia, że ​​FreeIPA jest niezbędną częścią infrastruktury systemu opartego na systemie Linux. Ma ładny interfejs internetowy i potężny interfejs wiersza poleceń.

W tym samouczku zobaczymy, jak zainstalować i skonfigurować samodzielny serwer FreeIPA na Red Hat Enterprise Linux 7.5. Należy jednak pamiętać, że w systemie produkcyjnym zaleca się stworzenie co najmniej jednej repliki, aby zapewnić wysoką dostępność. Będziemy hostować usługę na maszynie wirtualnej z 2 rdzeniami procesora i 2 GB pamięci RAM - w dużym systemie możesz dodać więcej zasobów. Nasz maszyna laboratoryjna działa RHEL 7.5, instalacja podstawowa. Zacznijmy.

Zainstalowanie i skonfigurowanie serwera FreeIPA jest dość łatwe - GOTCHA jest w planowaniu. Powinieneś pomyśleć o tym, jakie części stosu oprogramowania chcesz użyć i jakie jest środowisko, które chcesz uruchomić te usługi. Ponieważ FreeIPA może obsłużyć DNS, jeśli budujesz system od zera, może być przydatne, podaj całą domenę DNS Freeipa, w której wszystkie maszyny klientów będą dzwonić na serwery Freeipa dla DNS. Ta domena może być subdomeną twojej infrastruktury, możesz nawet ustawić subdomenę tylko dla serwerów Freeipa - ale uważnie pomyśl o tym, ponieważ nie możesz później zmienić domeny. Nie używaj istniejącej domeny, Freeipa musi myśleć, że jest to mistrzem danej domeny (instalator sprawdzi, czy domena może zostać rozwiązana, a czy ma rekord SOA inaczej niż sam).

PKI to kolejne pytanie: jeśli masz już w systemie CA (Authority Authority), możesz skonfigurować Freeipa jako podrzędny CA. Z pomocą CertMonger FreeIPA może automatycznie odnawiać certyfikaty klienta (jak certyfikat SSL serwera WWW), który może się przydać - ale jeśli system nie ma usługi skierowanej do Internetu, nie możesz potrzebować usługi PKI FreeiPA w ogóle. Wszystko zależy od przypadku użycia.

W tym samouczku planowanie jest już wykonane. Chcemy zbudować nowe laboratorium testowe, więc zainstalujemy i skonfigurujemy wszystkie funkcje FreeIPA, w tym DNS i PKI z samowystarczalnym certyfikatem CA. FreeIPA może to dla nas wygenerować, nie trzeba tworzyć go z narzędziami takimi jak OpenSSL.

Wymagania

To, co należy skonfigurować, to wiarygodne źródło NTP dla serwera (FreeIPA będzie również działał jako serwer NTP, ale naturalnie potrzebuje źródła) i wpis w serwerze /etc/hosts Plik wskazujący na siebie:

# cat /etc /hosts 127.0.0.1 Localhost Localhost.Localdomain LocalHost4 LocalHost4.LocalDomain4 :: 1 Localhost Localhost.Localdomain LocalHost6 LocalHost6.Localdomain6 192.168.122.147 RHEL7.IPA.Linuxconfig.Org Rhel7 

A nazwa hosta podana w pliku hostów musi być FQDN maszyny.

# nazwa hosta RHEL7.IPA.Linuxconfig.org 

To ważny krok, nie przegap tego. Ta sama nazwa hosta potrzebna w pliku sieciowym:

# GREP HostName/etc/sysconfig/sieci hostname = rhel7.IPA.Linuxconfig.org 

Instalowanie pakietów

Potrzebne oprogramowanie jest zawarte w obrazie ISO lub kanale subskrypcji Red Hat Enterprise Server Server, nie potrzebne dodatkowe repozytoria. W tym demo znajduje się zestaw repozytorium lokalnego, który ma zawartość obrazu ISO. Stos oprogramowania jest połączony razem, więc zrobi to pojedyncze polecenie Yum:

# Yum Zainstaluj IPA-SERVER IPA-SERVER-DNS 

W instalacji podstawowej Yum zapewni długą listę zależności, w tym Apache Tomcat, Apache Httpd, 389-DS (serwer LDAP) i tak dalej. Po zakończeniu Yum otwórz porty potrzebne na zaporze:

# Firewall-Cmd --add-Service = Freeipa-Ldap Succes 

Organizować coś

Teraz skonfigurujmy nasz nowy serwer FreeIPA. To zajmie trochę czasu, ale potrzebujesz tylko pierwszej części, gdy instalator poprosi o parametry. Większość parametrów może być przekazywana jako argumenty instalatorowi, ale nie damy żadnego, w ten sposób możemy skorzystać z poprzednich ustawień.

# IPA-server-install plik dziennika dla tej instalacji można znaleźć w/var/log/ipaserver-install.log ================================================= ============================= Ten program skonfiguruje serwer IPA. Obejmuje to: * Skonfiguruj samodzielny CA (Dogtag) do zarządzania certyfikatem * Skonfiguruj demon czasu sieciowego (NTPD) * Utwórz i skonfiguruj instancję serwera katalogu * Utwórz i skonfiguruj centrum dystrybucji kluczy Kerberos (KDC) * Konfiguruj Apache ( httpd) * Skonfiguruj KDC, aby umożliwić PKINIT, aby zaakceptować domyślnie pokazane w nawiasach, naciśnij klawisz Enter. OSTRZEŻENIE: Konfliktowa usługa synchronizacji czasu i daty „Chronyd” będzie wyłączona na korzyść NTPD ## Użyjemy zintegrowanego serwera DNS Czy chcesz skonfigurować zintegrowane DNS (BIND)? [Nie]: Tak Wprowadź w pełni kwalifikowaną nazwę domeny komputera, na której konfigurujesz oprogramowanie serwerowe. Za pomocą formularza . Przykład: Master.przykład.com. ## Naciśnięcie „Wprowadź” oznacza, że ​​akceptujemy domyślne bransoletki ## To jest powód, dla którego skonfigurowaliśmy odpowiedni FDQN dla hosta Nazwa hosta serwera [RHEL7.IPA.Linuxconfig.ORG]: OSTRZEŻENIE: Pomijanie rozdzielczości DNS z gospodarza RHEL7.IPA.Linuxconfig.org nazwa domeny została określona na podstawie nazwy hosta. ## Teraz nie musimy pisać/wklejać nazwy domeny ##, a instalator nie musi próbować ustawić nazwy hosta Potwierdź nazwę domeny [IPA.Linuxconfig.Org]: Protokół Kerberos wymaga zdefiniowania nazwy dziedziny. Zazwyczaj jest to nazwa domeny przekonwertowana na wielki poziom. ## Kerberos Realm jest mapowany z nazwy domeny Podaj nazwę dziedziny [IPA.Linuxconfig.ORG]: Niektóre operacje serwera katalogu wymagają użytkownika administracyjnego. Ten użytkownik jest określany jako menedżer katalogów i ma pełny dostęp do katalogu zadań zarządzania systemem i zostanie dodany do instancji serwera katalogu utworzonego dla IPA. Hasło musi mieć co najmniej 8 znaków. ## Directory Manager Użytkownik dotyczy operacji niskiego poziomu, takich jak tworzenie replików Hasło menedżera katalogu: ## Użyj bardzo mocnego hasła w środowisku produkcyjnym! Hasło (potwierdź): serwer IPA wymaga użytkownika administracyjnego o nazwie „admin”. Ten użytkownik jest zwykłym konto systemowym używanym do administracji serwera IPA. ## admin jest „root” systemu Freeipa - ale nie katalog LDAP IPA Hasło administratora: hasło (potwierdź): Sprawdzanie domeny DNS IPA.Linuxconfig.org., proszę czekać… ## Możemy skonfigurować napastników, ale można to również ustawić później Czy chcesz skonfigurować napastników DNS? [Tak]: Nie, nie skonfigurowani DNS Proporters Czy chcesz wyszukiwać brakujące strefy odwrotne? [Tak]: Nie serwer IPA Master zostanie skonfigurowany z: HostName: Rhel7.IPA.Linuxconfig.org adres IP (es): 192.168.122.147 Nazwa domeny: IPA.Linuxconfig.Nazwa realmu org: IPA.Linuxconfig.ORG BIND DNS Server zostanie skonfigurowany do obsługi domeny IPA z: Proporters: Brak Polityka naprzód: Tylko strefa odwrotna: Brak strefy odwrotnej Kontynuuj system z tymi wartościami? [nie tak ## W tym momencie instalator będzie działał sam, ## i ukończy proces za kilka minut. Idealny czas na kawę. Następujące operacje mogą potrwać kilka minut. Poczekaj, aż monitu zostanie zwrócona. Konfigurowanie Demona NTP (NTPD) [1/4]: Zatrzymanie NTPD… 

Wyjście instalatora jest dość długie, możesz zobaczyć, jak wszystkie komponenty konfigurowane, wznoważone i zweryfikowane. Na końcu wyjścia istnieje pewne kroki potrzebne do pełnej funkcjonalności, ale nie dla samego procesu instalacji.

… Komenda IPA-client-install zakończyła się sukcesem ============================================================================================= =====================================. Musisz upewnić się, że te porty sieciowe są otwarte: Porty TCP: * 80, 443: http/https * 389, 636: ldap/ldaps * 88, 464: kerberos * 53: wiązać porty UDP: * 88, 464: Kerberos * 53 : Bind * 123: NTP 2. Możesz teraz uzyskać bilet Kerberos za pomocą polecenia: „Kinit Admin” Ten bilet pozwoli Ci korzystać z narzędzi IPA (e.G., IPA użytkownika-add i interfejs użytkownika WWW. Pamiętaj, aby wykonać kopię zapasową certyfikatów CA przechowywane w /root /cacert.p12 Pliki te są zobowiązane do tworzenia replików. Hasło dla tych plików to hasło Menedżera katalogu 

Jak wskazuje instalator, pamiętaj, aby wykonać kopię zapasową certyfikatu CA i otwórz dodatkowe potrzebne porty w zaporze.

Teraz włączmy tworzenie katalogu domowego na logowanie:

# Authconfig --enablemkhomedir -upDate 

Weryfikacja

Możemy rozpocząć testowanie, jeśli mamy działający stos usług. Przetestujmy, czy możemy uzyskać bilet Kerberos dla użytkownika administratora (z hasłem podanym użytkownikowi administratora podczas instalacji):

# hasło administratora kinit dla [email protected]: # Klist Cache Cache: Cheyring: Trwałość: 0: 0 Domyślna Księga: [email protected] Ważny początek wygasa Service Principal 2018-06-24 21 21.44.30 2018-06-25 21.44.28 KRBTGT/[email protected] 

Maszyna hosta jest zapisywana do naszej nowej domeny, a domyślne reguły dają dostęp SSH dostęp do wyżej wymogowanego użytkownika administratora dla wszystkich zapisanego hosta. Sprawdźmy, czy te zasady działają zgodnie z oczekiwaniami, otwierając połączenie SSH z LocalHost:

# ssh admin@localHost hasło: tworzenie katalogu domowego dla administratora. Ostatni login: Sun 24 czerwca 21:41:57 2018 z Localhost $ PWD /Home /Admin $ Exit 

Sprawdźmy status całego stosu oprogramowania:

# IPACTL Status Directory Service: Uruchamianie usługi KRB5KDC: Uruchamianie usługi Kadmin: Uruchamianie nazwanej usługi: Uruchamianie usługi HTTPD: Uruchamianie usługi IPA-Custodia: Uruchamianie usługi NTPD: Uruchamianie usługi PKI-TOMCATD: Uruchamianie usługi IPA-OTPD: Uruchamianie IPA-DNSKEYSYNCD SERWIS: Uruchamianie IPA: Informacje: Polecenie IPACTL zakończyło się sukcesem 

Oraz - z biletem Kerberos nabyty wcześniej - poproś o informacje o użytkowniku administracyjnym za pomocą narzędzia CLI:

# IPA Użytkownik-Find Administrator -------------- 1 Dopasowany użytkownik -------------- Login użytkownika: Nazwa administratora: Administrator Direktory Home: /Strona główna /Admin Login Shell: /bin /bash główny pseudonim: [email protected] UID: 630200000 GID: 630200000 Konto wyłączone: Fałsz ---------------------------- Liczba zwróconych wpisów 1 ---------------------------- 

I wreszcie, zaloguj się do strony internetowej strony zarządzania przy użyciu poświadczeń użytkownika administratora (komputer z przeglądarką musi być w stanie rozwiązać nazwę serwera FreeIPA). Użyj HTTPS, serwer będzie przekierowywał, jeśli zostanie użyty zwykły HTTP. Gdy zainstalowaliśmy autentycznie podpisany certyfikat, przeglądarka ostrzeże nas przed.

Domyślna strona po zalogowaniu pokazuje listę naszych użytkowników, w której teraz pojawia się tylko użytkownik administratora.

Dzięki temu osiągnęliśmy nasz cel, mamy działający serwer FreeIPA gotowy do wypełnienia użytkowników, hostów, certyfikatów i różnych zasad.

Powiązane samouczki Linux:

• Rzeczy do zainstalowania na Ubuntu 20.04
• Rzeczy do zrobienia po zainstalowaniu Ubuntu 20.04 Focal Fossa Linux
• Wprowadzenie do automatyzacji, narzędzi i technik Linuksa
• Pobierz Linux
• Linux Pliki konfiguracyjne: Top 30 Najważniejsze
• Czy Linux może uzyskać wirusy? Badanie podatności Linuksa…
• Rzeczy do zainstalowania na Ubuntu 22.04
• Rzeczy do zrobienia po zainstalowaniu Ubuntu 22.04 JAMMY Jellyfish…
• Najlepszy Linux Distro dla programistów
• Mint 20: Lepsze niż Ubuntu i Microsoft Windows?