CentOS 8、AlmaLinux、またはRocky Linux 8サーバーディストリビューションにFreeIPAをインストールして、一元化された認証、承認、アカウント情報システムを取得するための手順とコマンドを学ぶためのチュートリアル。
FreeIPAは、Free Identity、Policy、Auditの略で、LDAPディレクトリとKerberosに基づくオープンソースのID管理ソリューションであり、DNSサーバー、認証局などのオプションのコンポーネントを備えています。ユーザー、コンピューター、ポリシー、および信頼関係を持つドメインを管理できます。 Microsoft Active Directoryのように聞こえませんか?はい、それはまさにそれがすべてであるものです。 FreeIPAは、既存のActive Directoryフォレストとのフォレスト間の信頼を設定することもでき、重複しない限り、ActiveDirectoryによって管理されるゾーンの下のDNSゾーンに存在することもできます。 Webインターフェイスとコマンドライン管理ツールで構成されています。
要件:
- ホスト名は完全修飾されている必要があり、解決できます。ここでは、サブドメイン、つまりdemo.how2shout.comを使用しています
- 少なくとも1GBのRAMと10GBの空きディスク
AlmaLinuxまたはRockyLinux8にFreeIPAをインストールする手順
以下に示すコマンドは、CentOS 8、Oracle Linux、VzLinux、およびその他のRPMベースのオペレーティングシステムでも使用できます。
1。 AlmaLinuxまたはRockyでホスト名を設定する
FreeIPAに適切にアクセスして使用するには、完全修飾ドメイン名が必要なので、使用するFQDNホスト名を設定する必要があります。たとえば、ここでは、DNSサーバーを使用して解決できるdemo.how2shout.comを使用しています。ただし、DNSサーバーがない場合は、Almalinuxサーバーのホストファイルに手動でエントリを追加して、完全修飾ホスト名のシステムIPアドレスを解決する必要があります。
sudo hostnamectl set-hostname demo.example.com
demo.example.comを置き換えます サーバーのホスト名に設定するものを使用します。
ホスト名に使用されるドメインは、サーバーに到達するためにIPアドレスを解決する必要があります。次に、サーバーのIPアドレスを、ホストファイル内のホスト名(完全修飾ドメイン名)にポイントします。
echo "192.168.0.110 demo.example.com demo" | sudo tee -a /etc/hosts
交換 – 192.168.0.110 サーバーのIPアドレスとdemo.example.com FQDNホスト名を使用します。
注 :FreeIPAをローカルでテストしたい場合 の場合、.localなどの予約済みTLDを使用することをお勧めします。 .testまたは.homeも使用できます-例 : demo.IPA.local
完了したら、システムがホストにpingを実行して同じ問題を解決できることを確認します。
ping -c 2 demo.example.com
次に、再起動します:
sudo reboot
2。システムアップデートを実行する
先に進む前に、システム更新コマンドを1回実行して、すべてのシステムパッケージが最新であることを確認します。これにより、システムのリポジトリキャッシュが再構築されます。
sudo dnf update
3。 Red Hat Enterprise LinuxIdentityManagementシステムモジュールを有効にする
FreeIPAサーバーとクライアントパッケージはデフォルトのAppストリームリポジトリから入手できますが、それらを取得するには、まず、使用しているAlmaLinuxまたはRockyLinuxでIDM–IdentityManagementシステムモジュールを有効にする必要があります。
sudo dnf install @idm:DL1
4。 FreeIPAをAlmaLinuxまたはRockyLinux8にインストールする
サーバーシステムでIDMモジュールを有効にしたら、FreeIPAに必要なすべてのパッケージをシステムにインストールします。
sudo dnf install ipa-server
FreeIPA DNSサーバーもインストールする場合は、次のコマンドも実行します。
sudo dnf install ipa-server-dns bind-dyndb-ldap
5。 FreeIPAサーバーをセットアップする
これまで、AlmaLinuxまたはRockyでFreeIPAサーバーをセットアップするために必要なすべての重要なものをダウンロードしてインストールしたので、それから始めましょう。
sudo ipa-server-install
上記のコマンドは、テキストベースのウィザードを開始します。それはあなたにいくつかの一般的な質問をします。最初のものはBINDDNSの統合であり、デフォルトでは「 NO」に設定されます ‘。したがって、 Enterを押すだけです。 それなしで続行します。ただし、ドメイン名を解決するためにAlmaまたはRockyにBIND DNSを設定する場合は、「はい」と入力してEnterキーを押します。
その後、スクリプトはサーバーのホスト名とホスト名に設定したドメインを自動的に検出します
したがって、 Enterを押すだけです。 両方のオプションのキー。
上記のエントリを設定すると、ディレクトリマネージャを設定するように求められます。 パスワード、および IPA Webインターフェイスの管理者パスワード。次に、デフォルトを慢性的に受け入れるようにNTPサーバーを構成するように求められます(いいえ )または「はい」と入力します 選択に応じて。
システムの構成を続行するように求められた場合は、覚えておいてください。 、タイプ–はい Enterを押します キー。
6。 LinuxFirewalldを設定する
一部のクラウドサービスでサーバーを使用している場合は、そのファイアウォールを使用して、次のポートをホワイトリストに登録します。
これらのネットワークポートが開いていることを確認する必要があります:
TCPポート:
80、443:HTTP / HTTPS
389、636:LDAP / LDAPS
88、464:Kerberos
UDPポート:
88、464:Kerberos
123:NTP
一方、サーバーシステムでFirewalldを使用している場合は、次の2つのコマンドを実行するだけです。
sudo firewall-cmd --add-service={http,https,dns,ntp,freeipa-ldap,freeipa-ldaps} --permanent sudo firewall-cmd --reload
7。 FreeIPAGUIWebインターフェースにアクセスする
スクリプトによってインストールが完了したら、システムブラウザを開き、最初にシステムに設定したFQDNホスト名をポイントします(例: https://demo.example.com
)。 または https://your-server-ip
と入力した場合 これにより、自動的にFQDNにリダイレクトされます。
8。ログイン
FreeIPAにログインするためのデフォルトのユーザー名はadminです 一方、パスワードは、手順5でFreeIPAサーバーをインストールするときに設定したものと同じです。 この記事の。
FreeIPAコマンドライン
FreeIPA Web GUIインターフェースを使用したくない場合は、コマンドラインにアクセスして、ユーザーの作成、ユーザーのSSHログインのテストなどのさまざまな操作を実行できます…
CLIの使用を開始するには、次のように入力します-
sudo kinit admin
最初の入力 システムユーザーのパスワードと、インストール中にFreeIPAに設定したパスワード。
ログインすると、ipa
の使用を開始できます コマンド。コマンドオプションの詳細については、manページを参照してください:
man ipa
たとえば、ユーザーを作成するには-
sudo ipa user-add testuser --first=Test --last=User --email=testuser@example.com --password
ユーザーが追加したら、次の方法で認証できます:
これで、
を使用して新しいユーザーとして認証できます。kinit <user>
ユーザーアカウントを一覧表示するには
sudo ipa user-find
作成したユーザーでログインするには:
ssh [email protected]
詳細については、公式ドキュメントを参照してください。 。
AlmaLinuxまたはrockyからのFreeIPAのアンインストール
オープンソースのID管理システムで問題が発生した場合、またはそれが不要になった場合は、以下のコマンドを使用して、CentOS、AlmaLinux、Rocky、または使用している他の同様のLinuxシステムからFreeIPAを削除します。
sudo ipa-server-install --uninstall
その他の記事:
- AlmaLinux 8 /RockyLinuxにDigをインストールする
- Ubuntu20.04Linuxでコンピューター名を変更する方法
- DockerにPi-holeをインストールする方法–ネットワーク全体の広告ブロック