Alma Linux 8 /CentOS8上のFreeIPAサーバー

Jhon、Doe、Mikeの3人のユーザーがいます。ソフトウェア会社のIT部門にいるとします。これらの3人のユーザーのIDを管理する必要があります。簡単ですよね？ IDアクセスを簡単に管理できます。しかし、3人のユーザーが300または3000になるのはどうですか？それらをどのように管理できますか？

物事はかなり難しくなると思いますが、中央のID情報を持つシステムがあれば、私たちが述べた問題を解決するのが簡単になるかもしれません。心配はいりません。FreeIPAが問題の解決を支援します。

この記事では、FreeIPAに関するいくつかの非常に基本的なことを学び、いくつかの実践的な経験をします！

始めましょう。

IPAは、ID、ポリシー、および監査の略です。 FreeIPAは、これら3つを一元管理された方法で提供することを目的としています。これは、Linux（Fedora）、389 Directory Server、MIT Kerberos、NTP、DNS、Dogtag（証明書システム）を組み合わせた統合セキュリティ情報管理ソリューションです。 Webインターフェイスとコマンドライン管理ツールで構成されています。

基本的な専門用語で話し終えたと思います。仕事に取り掛かりましょう。

要件

インストールと構成の作業を行うには、次のものが必要でした。

新しくインストールされたCantos8マシン
4GBのRAM。
4コアCPU。
50GBの空き容量。
1静的IP。

始める前に

マシンのインストール

IP192.168.0.101とユーザーIPAを使用して仮想ボックスにcentos8マシンをインストールしました。残りの作業は、ユーザー名IPAを使用して行います。ユーザーIPAは、マシンへの管理アクセス権を持っています。インストールの目的でrootを使用することはお勧めしません。

ホスト名を設定

ホスト名をipamaster.unixcop.localとして設定します。もちろん、自分で設定することもできます

hostnamectl set-hostname ipamaster.unixcop.local

SELinuxパーミッシブ

SELinuxをPermissive/Disabledモードに設定する必要があります

/ etc / selinux にある設定を変更することで、永続的または一時的にすることができますディレクトリ

以下のように変更を永続的にしました。これらの変更を行った後、システムを再起動する必要があります。

hostsファイルへのエントリ

IPとホスト名を/etc/hostsファイルに追加する必要があります。私の場合、IPは 192.168.0.101です。

ホストファイルの出力は次のとおりです

これらのポートが他の人に使用されていないことを確認してください！

80、443、8080：HTTP / HTTPS

389、636：LDAP / LDAPS

88、464：Kerberos
123：NTP

Linuxシステムで開いている/使用されているポートを確認する方法がわからない場合

次のコマンドを実行して、システムのリスニングポートを確認する方法を示します

netstat -tulpn

インストールと構成

システムの更新

まず、すべてのパッケージ/ソフトウェアが更新されていることを確認するために、システムを更新する必要があります。

コマンドsudo dnf update -yを実行します

しばらくお待ちください。しばらく時間がかかる場合があります（インターネット接続によっては新しいマシンで）

必要なパッケージをインストールする

Almalinux / Centos 8には、AppStreamとも呼ばれるアプリケーションストリームを介して、独立したライフサイクルでソフトウェアの追加バージョンをインストールできるModularityRepository機能が付属しています。これにより、ユースケースに適した適切なバージョンのアプリケーションを使用しながら、オペレーティングシステムを最新の状態に保つことができます。

FreeIPAサーバーおよびクライアントパッケージは、Alma Linux / Centos 8のAppStreamリポジトリを介して配布されます。試してみませんか？次のコマンドを実行します

sudo dnf module list idm

出力から、DL1とクライアントモジュールがあることがわかります

DL1モジュールの詳細については、次のコマンドを実行してください

sudo dnf module info idm:DL1

ここでは、モジュールに関する詳細情報を取得します。

ここにサーバーをインストールしているので、最初にDL1モジュールをインストールする必要があります。また、マスターはそれ自体のクライアントであるため、DL1にはipa-clientが含まれています。

次のコマンドを実行してモジュールをインストールします

sudo dnf install @idm:DL1 -y

DNSなしでfreeIPAをインストールする場合は、次の

のみを実行してください。

sudo dnf install freeipa-server --setup-dns

DNSを含める場合は、次を実行します

sudo dnf install ipa-server-dns bind-dyndb-ldap

パッケージがダウンロードされてインストールされるまで待ちます。インターネット接続によっては時間がかかる場合があります。

ファイアウォールに追加

次のサービスをファイアウォールに追加する必要があります

http.https, dns, ntp, freeipa-ldap, freeipa-ldaps

コマンド：

sudo firewall-cmd --add-service={http,https,dns,ntp,freeipa-ldap,freeipa-ldaps} --permanent

次に、ファイアウォールをリロードして変更を有効にする必要があります。

sudo firewall-cmd --reload

freeIPAサーバーをインストールする

DNSを含むfreeIPAサーバーをインストールします

次のコマンドを実行します

sudo ipa-server-install --setup-dns

インストール作業では、インストール中に次のことが行われます

*証明書管理用のスタンドアロンCA（ドッグタグ）を構成する

次に、NTPクライアントを構成します（chronyd）

*DirectoryServerのインスタンスを作成および構成する

* Kerberos Key Distribution Center（KDC）を作成および構成します

* Apache（httpd）を構成する

* DNS（バインド）を構成し、PKINITを有効にするようにKDCを構成します

ホスト名を要求されます。すでにホスト名を設定しています。私のように怠け者の場合は、もう一度入力するか、Enterキーを押してください😉
次に、ドメイン名の確認を求められます。この場合、名前はunixcop.localである必要があります。次のステップに入るヒットのタイプ。
先に進むと、次の手順が表示されます。

（私は命名規則で行ったことを共有しています。あなたのものは異なるかもしれません）

REALM名：UNIXCOP.LOCAL

ディレクトリマネージャーのパスワード:(8文字のパスワードを選択してください）

パスワードを確認する
IPAには「admin」という名前の管理ユーザーがいます。このユーザーのパスワードを設定し、パスワードを確認する必要があります。

これらのサーバーをDNSフォワーダーとして構成し、Enterキーを押してDNSサーバーを追加し、IPアドレスを追加します。今のところ、これは必要ありません。
次に、DNS逆引きゾーンを追加し、NTPを構成します。 NTPサーバーとのchronyを構成する場合は、常に「はい」と入力する必要があります。
これらすべてを完了すると、インストールの概要とともにプロンプトが表示されます。これらの値を使用してシステムを構成し続けるというプロンプトに「はい」と入力する必要があります。
次に、IPAはシステムの構成を開始し、次の出力を取得します。