FreeIPA は無料のオープンソースID管理ツールであり、Red HatIdentityManagerのアップストリームプロジェクトです。 FreeIPAツールを使用すると、集中認証を簡単に管理できます。 アカウント管理、ポリシー(ホストベースのアクセス制御)および監査とともに。 FreeIPAは、 DNSなどのサービスも提供します およびPKI 。
FreeIPAは、次のオープンソースプロジェクトに基づいています
- 389ディレクトリサーバー(LDAP)
- MIT Kerberos
- SSSD
- ドッグタグ(証明書システム)
- NTPとDNS
この記事では、CentOS7サーバーにFreeIPAツールをインストールして構成する方法を示します。以下は、私のテストラボサーバー(CentOS7)の詳細です。
- IPアドレス=192.168.0.102
- Hostanme =ipa.linuxtechi.lan
- RAM =2 GB
- CPU =2 vCPU
- ディスク=/に12GBの空き容量
- インターネット接続
ステップ:1静的ホスト名を設定して更新を適用する
hostnamectlコマンドを使用してサーバーの静的ホスト名を設定します
[[email protected] ~]# hostnamectl set-hostname "ipa.linuxtechi.lan" [[email protected] ~]# exec bash [[email protected] ~]#
yum updateコマンドを使用してサーバーを更新してから、再起動します
[[email protected] ~]# yum update -y;reboot
ステップ:2hostsファイル(/ etc / hosts)を更新します
以下のechoコマンドを実行して/etc/ hostsファイルを更新し、セットアップに従ってIPアドレスとホスト名を置き換えます。
[[email protected] ~]# echo -e "192.168.0.102\tipa.linuxtechi.lan\t ip" >> /etc/hosts [[email protected] ~]#
ステップ:3yumコマンドを使用してFreeIPAパッケージをインストールします
FreeIPAパッケージとその依存関係は、デフォルトのパッケージリポジトリで利用できます。 FreeIPAの統合DNSのインストールを計画しているため、「 ipa-server-dns」もインストールします。 」
以下のコマンドを実行して、FreeIPAとその依存関係をインストールします
[[email protected] ~]# yum install ipa-server ipa-server-dns -y
ステップ:4「ipa-server-install」を使用してFreeIPAインストールのセットアップを開始します
パッケージが正常にインストールされたら、以下のコマンドを使用してfreeipaのインストールセットアップを開始します。
統合DNS、ホスト名、ドメイン名、レルム名の構成など、いくつかのプロンプトが表示されます
[[email protected] ~]# ipa-server-install
上記のコマンドの出力は次のようになります
上記のウィンドウで[はい]を押した後、FreeIPAサーバーを構成するのに少し時間がかかります。正常にセットアップされると、次のような出力が表示されます。
上記の出力は、正常にインストールされたことを確認します。
以下のコマンドを実行して、認証(またはログイン)後にユーザーのホームディレクトリを自動的に作成できるようにします
[[email protected] ~]# authconfig --enablemkhomedir --update [[email protected] ~]#
注: CentOS7サーバーにFreeIPAをインストールしているときに以下のエラーが発生した場合
............. [error] CalledProcessError: Command '/bin/systemctl start certmonger.service' returned non-zero exit status 1 ipa.ipapython.install.cli.install_tool(CompatServerMasterInstall): ERROR Command '/bin/systemctl start certmonger.service' returned non-zero exit status 1 ipa.ipapython.install.cli.install_tool(CompatServerMasterInstall): ERROR The ipa-server-install command failed. See /var/log/ipaserver-install.log for more information .................
これはCentOS7の既知の問題のようです。これを解決するには、dbusサービスを再起動し(service dbus restart)、コマンド「ipa-server-install –uninstall」を使用してfreeipaをアンインストールしてから、もう一度インストールしてみます。
ステップ:5OSファイアウォールでFreeIPAポートを許可する
OSファイアウォールがcentos7サーバーで実行されている場合は、以下のfirewall-cmdコマンドを実行して、FreeIPAのポートを許可または開きます。
[[email protected] ~]# firewall-cmd --add-service=freeipa-ldap success [[email protected] ~]# firewall-cmd --add-service=freeipa-ldap --permanent success [[email protected] ~]# firewall-cmd --reload success [[email protected] ~]#
ステップ:6検証とFreeIPA管理ポータルへのアクセス
以下のコマンドを使用して、FreeIPAのすべてのサービスが実行されているかどうかを確認します
[[email protected] ~]# ipactl status Directory Service: RUNNING krb5kdc Service: RUNNING kadmin Service: RUNNING named Service: RUNNING httpd Service: RUNNING ipa-custodia Service: RUNNING ntpd Service: RUNNING pki-tomcatd Service: RUNNING ipa-otpd Service: RUNNING ipa-dnskeysyncd Service: RUNNING ipa: INFO: The ipactl command was successful [[email protected] ~]#
管理者ユーザーがkinitコマンドを使用してKerberos経由でトークンを取得するかどうかを確認しましょう。FreeIPAのインストール時に提供したのと同じ管理者ユーザーのパスワードを使用してください。
[[email protected] ~]# kinit admin Password for [email protected]: [[email protected] ~]# klist Ticket cache: KEYRING:persistent:0:0 Default principal: [email protected].LAN Valid starting Expires Service principal 11/26/2018 07:39:00 11/27/2018 07:38:55 krbtgt/[email protected] [[email protected] ~]#
次のURLを使用してFreeIPA管理ポータルにアクセスします:
https://ipa.linuxtechi.lan/ipa/ui
adminとしてユーザー名を使用し、インストール時に指定したパスワードを使用します。
ログイン
をクリックします
これにより、CentOS7サーバーでFreeIPAが正常にセットアップされたことを確認できます。また、記事の締めくくりとして、フィードバックやコメントを共有してください。
続きを読む:認証を一元化するためにUbuntu 18.04 /CentOS7でFreeIPAクライアントを構成する方法