FreeIPAは、Microsoft Active DirectoryやLDAPなど、一元化されたアカウント管理と認証を提供するLinux/Unix環境向けのオープンソースID管理システムです。
ここLinuxAPTでは、サーバー管理サービスの一環として、お客様が関連するLinuxシステムのオープンソースソフトウェアのインストールおよび構成クエリを実行するのを定期的に支援しています。
これに関連して、CentOS8にFreeIPAをインストールする方法を検討します。
CentOS8にFreeIPAをインストールする手順
1. EPELをインストールし、システムアップデートを実行します
まず、EPELリポジトリをインストールし、次のコマンドを使用してシステムを最新の状態に保つようにします。
$ sudo dnf install epel-release
$ sudo dnf update
2.システムにFreeIPAをインストールします
IPアドレスが192.168.77.5で、Hostanmeがfreeipa.linuxapt.comであるとしましょう。ホスト名を設定します。次のコマンドで設定できます:
$ hostnamectl set-hostname freeipa.linuxapt.com
echo "192.168.77.5 freeipa.linuxapt.local ipa" >> /etc/hosts
FreeIPAパッケージは、CentOS8AppStreamリポジトリのIdentityManagementシステムモジュールによって提供されます。
したがって、次のコマンドを実行してidm:DL1ストリームを有効にする必要があります:
$ sudo dnf module enable idm:DL1
次に、次のコマンドを使用してリポジトリを同期します。
$ sudo dnf distro-sync
最後に、次のコマンドを使用してCentOS8システムにFreeIPAをインストールします。
$ sudo dnf install ipa-server ipa-server-dns
FreeIPAを構成する方法は?
1.FreeIPAサーバーをセットアップします
FreeIPAサーバーを設定する必要があります。次のコマンドで設定できます:
$ ipa-server-install --setup-dns
前のコマンドを実行すると、この構成は次のようになります。
[[email protected] ~]# ipa-server-install --setup-dns
The log file for this installation can be found in /var/log/ipaserver-install.log
==============================================================================
This program will set up the IPA Server.
This includes:
* Configure a stand-alone CA (dogtag) for certificate management
* Configure the Network Time Daemon (ntpd)
* Create and configure an instance of Directory Server
* Create and configure a Kerberos Key Distribution Center (KDC)
* Configure Apache (httpd)
* Configure DNS (bind)
To accept the default shown in brackets, press the Enter key.
Enter the fully qualified domain name of the computer
on which you're setting up server software. Using the form
<hostname>.<domainname>
Example: master.example.com.
Server host name [freeipa.linuxapt.com]: [ENTER]
Warning: skipping DNS resolution of host freeipa.linuxapt.local
The domain name has been determined based on the host name.
Please confirm the domain name [linuxapt.com]:[ENTER]
The kerberos protocol requires a Realm name to be defined.
This is typically the domain name converted to uppercase.
Please provide a realm name [LINUXAPT.COM]: [ENTER]
Certain directory server operations require an administrative user.
This user is referred to as the Directory Manager and has full access
to the Directory for system management tasks and will be added to the
instance of directory server created for IPA.
The password must be at least 8 characters long.
Directory Manager password: [ENTER PASSWORD]
Password (confirm): [ENTER PASSWORD]
. . . . .
FreeIPAのインストール後、Kerberosレルムに対して認証して、管理者が正しく構成されていることを確認します。
$ kinit admin
klistコマンドを使用してKerberosチケットを一覧表示することもできます:
$ klist
2.FreeIPA用にファイアウォールを構成する
FreeIPAが使用する一部のポートを許可する必要があります。次のコマンドで許可できます:
$ sudo firewall-cmd --add-service={http,https,dns,ntp,freeipa-ldap,freeipa-ldaps} --permanent $ sudo firewall-cmd --reload
次に、システムでSELinuxを無効にする必要もあります:
$ sudo setenforce 0
$ sudo sed -i 's/^SELINUX=.*/SELINUX=permissive/g' /etc/selinux/config
FreeIPA Webインターフェースにアクセスする方法は?
FreeIPAは、デフォルトでHTTPポート80で利用できます。
以下のコマンドを使用して、FreeIPAのすべてのサービスが実行されているかどうかを確認することから始めます。
[root@ipa ~]# ipactl status
次に、お気に入りのブラウザを開いてhttps://freeipa.linuxapt.com/に移動し、必要な手順を実行してインストールを完了します。
プライベートSSL警告を無視して、FreeIPAサーバーのログインページに進みます。
インストールのセットアップ中に提供されたユーザー名、管理者、および管理者パスワードを使用します。