FreeIPAは、RedHatが後援する無料のオープンソースのIdentity、Policy、and Audit(IPA)スイートです。これは、Linux(Fedora)、389 Directory Server、MIT Kerberos、NTP、DNS Bind、Dogtag、Apache Webサーバー、およびPythonのIPAソリューションの組み合わせです。
FreeIPAには、コマンドライン管理ツールと、PythonおよびApacheWebサーバー上で実行される美しいWebUIインターフェイスが付属しています。現在、最新の安定バージョン4.7.0に到達しています。
このチュートリアルでは、CentOS7サーバーにFreeIPAをインストールして構成する方法を示します。 2GBのメモリを搭載した最新のCentOS7サーバーを使用し、FreeIPAパッケージの最新の安定バージョンをインストールします。
基本的なシステム要件:
- 推奨メモリRAM2GB以上
- root権限を持つRHELまたはCentOS7またはFedora
私たちが行うこと:
- ホストのセットアップ
- FreeIPAパッケージをインストールする
- FreeIPAサーバーのセットアップ
- 管理者の確認
- 新しいユーザーを追加
- テストログイン
まず、サーバーのホスト名を変更してから、「/ etc/hosts」ファイルを編集してFQDNを設定します。
次のコマンドを実行して、サーバーのホスト名を変更します。
hostnamectl set-hostname ipa.hakase-labs.io
その後、システムの「/ etc/hosts」ファイルを編集します。
vim /etc/hosts
次の構成を追加します。
10.9.9.15 ipa.hakase-labs.io ipa
保存して閉じます。
サーバーからログアウトして再度ログインし、次のコマンドを使用してホスト名とFQDNを確認します。
hostname
hostname -f
これで、ホスト名が「ipa」でFQDNが「ipa.hakase-labs.io」のCentOS7サーバーができました。
サーバーのホスト名とFQDNを設定した後、公式のCentOSリポジトリからFreeIPAパッケージをインストールします。
次のyumコマンドをrootとして実行します。
sudo yum install ipa-server bind-dyndb-ldap ipa-server-dns -y
パッケージのインストール後、ファイアウォールに新しいサービスを追加します。最も重要なのは、http、https、ldap、ldaps、Kerberos、およびkpasswdサービスをファイアウォール構成に追加することです。
次のbashコマンドを実行してから、firewalldサービスをリロードします。
for SERVICES in ntp http https ldap ldaps kerberos kpasswd dns; do firewall-cmd --permanent --add-service=$SERVICES; done
firewall-cmd --reload
その結果、FreeIPAパッケージがインストールされ、すべてのFreeIPAサービスがファイアウォール構成に追加されました。
このステップでは、FreeIPAサーバーとDNSをセットアップします。そのために、FreeIPAはインタラクティブなコマンドラインを提供します。そのため、FreeIPA構成を簡単に管理できます。
次のコマンドを実行して、FreeIPAサーバーを構成します。
ipa-server-install --setup-dns
まず、サーバーのホスト名、ドメイン名、およびREALM名を構成する必要があります。以下のように独自のドメイン名とサーバー名を入力して、続行します。
Server host name [ipa.hakase-labs.io]: ipa.hakase-labs.io
Please confirm the domain name [hakase-labs.io]: hakase-labs.io
Please provide a realm name [HAKASE-LABS.IO]: HAKASE-LABS.IO
その後、ディレクトリマネージャとFreeIPA管理者パスワードを設定する必要があります。独自のクレデンシャルを入力して続行します。
Directory Manager password: hakasemanager123
Password (confirm): hakasemanager123
IPA admin password: hakaseadmin123
Password (confirm): hakaseadmin123
次に、DNSフォワーダー構成に「はい」と入力します。次に、追加のリゾルバーIPアドレスを入力して続行します。
Do you want to configure DNS forwarders? [yes]: yes
Do you want to configure these servers as DNS forwarders? [yes]: yes
Enter an IP address for a DNS forwarder, or press Enter to skip: 1.1.1.1
Enter an IP address for a DNS forwarder, or press Enter to skip: 8.8.8.8
Enter an IP address for a DNS forwarder, or press Enter to skip: Press Enter
「yes」と入力し、検索を続行して、欠落している逆引きゾーンを作成します。
Do you want to search for missing reverse zones? [yes]: yes
これで、FreeIPAサーバーのIPアドレスの逆引きゾーンを作成するように求められます。 「yes」と入力して続行します。
Do you want to create reverse zone for IP 10.9.9.15 [yes]: yes
Please specify the reverse zone name [9.9.10.in-addr.arpa.]: Press Enter
そして最後に、上記のすべての構成をシステムに適用するように求められます。 「yes」と入力して、FreeIPA構成を待ちます。
Continue to configure the system with these values? [no]: yes
これでFreeIPAの構成が完了し、次の結果が得られます。
この段階で、CentOS7サーバーにFreeIPAをセットアップしました。次に、構成を確認します。
kinitコマンドを使用してKerberos管理者パスワードを確認します。
kinit admin
管理者パスワードを入力し、エラーがないことを確認してください。
その後、次のコマンドを使用して、管理ユーザーがFreeIPAデータベースで使用可能であることを確認します。
ipa user-find admin
次に、FreeIPA管理者のWebUIを確認します。
Webブラウザーを開き、アドレスバーにFreeIPAドメイン名を入力します。私のは:
https://ipa.hakase-labs.io/
そして、FreeIPAWeb-UIログインページが表示されます。
ユーザー「admin」と手順3で選択したパスワードを使用してログインします。
そして、FreeIPA管理ダッシュボードが表示されます。つまり、CentOS7でのFreeIPAのインストールと構成は正しいです。
この例では、「hiroyuki」という新しいFreeIPAユーザーを作成します。そしてもちろん、それを自分のユーザーに置き換えることができます。次に、その新しいユーザーを使用してSSH経由でサーバーにアクセスしようとします。
開始する前に、LDAPクライアント構成を編集して、「ホームディレクトリの作成」を有効にします。以下のコマンドを実行します。
sudo authconfig --enablemkhomedir --update
次に、以下のipaコマンドを実行して「hiroyuki」を作成します。
ipa user-add hiroyuki --first=Sawano --last=Hiroyuki [email protected] --shell=/bin/bash --password
強力なパスワードを入力してください。
その後、FreeIPAシステムでユーザーを確認します。サーバーにユーザーを配置するようにしてください。
ipa user-find hiroyuki
新しいFreeIPAユーザーが作成され、テストする準備が整いました。
ローカルコンピューターからSSH経由でFreeIPAサーバーに接続するためのテストを行い、手順5で作成したユーザーを使用します。この例では、「hiroyuki」です。
ローカルシステムから、以下のsshコマンドを実行します。
ssh [email protected]
次に、パスワードを入力します。完了すると、パスワードの有効期限が切れたという通知が表示されます。新しいパスワードに変更するには、現在のパスワードを入力してください。
その結果、これでホームディレクトリに移動し、先ほど作成したFreeIPAを使用してサーバーに正常にログインできます。
最後に、CentOS7サーバーでのFreeIPAのインストールと構成が正常に完了しました。
- https://www.freeipa.org/page/Main_Page
- CentOS7にFreeIPAクライアントをインストールする方法
- Ubuntuサーバー18.04にFreeIPAクライアントをインストールする方法