Ricerca nel sito web

Come installare il sistema di gestione delle identità FreeIPA su Rocky Linux 9


FreeIPA è una soluzione di gestione delle identità open source per i sistemi operativi Linux/Unix. È un progetto a monte del RedHat Identity Management System, che fornisce soluzioni di autenticazione e autorizzazione per i sistemi Linux/Unix.

FreeIPA si basa su più componenti, tra cui Directory Server, DNS, Kerberos, PKI, Certmonger, NTP Server, interfaccia utente di amministrazione Web, ecc. Fornisce una fonte centralizzata di credenziali utente e controllo degli accessi. FreeIPA consente agli amministratori di gestire facilmente l'identità in un ambiente centralizzato e fornisce monitoraggio, autenticazione e controllo degli accessi agli utenti.

In questo tutorial installerai e configurerai FreeIPA sul server Rocky Linux 9. Installerai i pacchetti server FreeIPA e configurerai la distribuzione di FreeIPA. Quindi configurerai anche un utente FreeIPA. Alla fine imparerai anche come installare e configurare il client FreeIPA sull'host Rocky Linux e aggiungerlo al server FreeIPA.

Prerequisiti

Per completare questo tutorial, è necessario possedere i seguenti requisiti:

Prima di iniziare, devi assicurarti di possedere i seguenti requisiti:

  • Due o più server Rocky Linux 9: in questo tutorial utilizzerai due host Rocky Linux per il server FreeIPA e il client FreeIPA.
  • Un utente non root con privilegi di amministratore sudo/root.
  • SELinux funziona in modalità permissiva.

Per questa demo utilizzeremo due server Rocky Linux 9 con i seguenti dettagli:

Hostname    IP Address      Used as
--------------------------------------------
ipa         192.168.5.25    FreeIPA Server
client      192.168.5.80    FreeIPA Client

Quando questi requisiti sono pronti, puoi ora avviare l'installazione di FreeIPA.

Imposta FQDN e fuso orario

Per questo tutorial, imposterai prima l'FQDN (nome di dominio completo) e il fuso orario predefinito sul tuo server FreeIPA.

Inserisci il seguente comando "hostnamectl" per configurare fqdn sul tuo sistema. In questo esempio, il server FreeIPA dovrebbe avere fqdn 'ipa.hwdomain.lan'.

sudo hostnamectl set-hostname ipa.hwdomain.lan

Ora apri il file "/etc/hosts" utilizzando il seguente comando dell'editor nano.

sudo nano /etc/hosts

Aggiungi la seguente riga al file e assicurati di modificare i dettagli del nome host, del fqdn e dell'indirizzo IP con il tuo server FreeIPA.

# ip - fqdn - hostname
192.168.5.25    ipa.hwdomain.lan    ipa

Salva e chiudi il file una volta terminato.

Successivamente, inserisci il comando seguente per verificare l'fqdn del tuo sistema. Quindi, assicurati che l'fqdn sia risolto nel tuo indirizzo IP interno.

sudo hostname -f
sudo ping -c3 ipa.hwdomain.lan

In caso di successo, dovresti ottenere che il tuo fqdn sia puntato all'indirizzo IP interno del tuo server. In questo esempio, il fqdn 'ipa.hwdomain.lan' punta all'indirizzo IP '192.168.5.25'.

Ora inserisci il seguente comando "timedatectl" per impostare il fuso orario predefinito per il tuo server. In questo esempio, l'ora per il server FreeIPA sarà "Europa/Stoccolma".

sudo timedatectl set-timezone Europe/Stockholm

Ora inserisci il seguente comando per impostare il file "/etc/localtime" per il tuo server sul fuso orario corretto. L'elenco dei file del fuso orario è archiviato nella directory '/usr/share/timezone/', è necessario creare un collegamento simbolico del file del fuso orario corretto a '/etc/localtime' .

sudo unlink /etc/localtime
sudo ln -s /usr/share/timezone/Europe/Stockholm /etc/localtime

Con fqdn e fuso orario configurati, imposterai successivamente il firewalld e aprirai alcune porte che utilizzerà il server FreeIPA.

Configura Firewalld

Nelle distribuzioni basate su RHEL, il software firewall predefinito installato è firewalld e si avvia ed esegue automaticamente. In questa sezione aggiungerai il servizio FreeIPA con alcuni servizi aggiuntivi come NTP e DNS al firewall.

Inserisci il seguente comando 'firewall-cmd' per aggiungere FreeIPA, DNS e NTP al firewalld. Quindi ricaricare il firewall per applicare le modifiche. Un output 'success' conferma che l'operazione è andata a buon fine.

sudo firewall-cmd --add-service={freeipa-ldap,freeipa-ldaps,dns,ntp,http,https,kerberos} --permanent
sudo firewall-cmd --reload

Successivamente, esegui il comando seguente per verificare lo stato del firewall e l'elenco dei servizi e delle porte abilitati.

sudo firewall-cmd --list-all

Dovresti ricevere un output come questo: il servizio FreeIPA, NTP e DNS aggiunti al firewalld.

Ora che hai configurato fqdn, timezone e firewalld, puoi avviare l'installazione del server FreeIPA tramite il gestore pacchetti DNF.

Installazione e configurazione del server FreeIPA

Nell'ultimo Rocky Linux 9, il server FreeIPA è disponibile per impostazione predefinita nel repository "appstream". Quindi non è necessario aggiungere il repository di terze parti per installare il pacchetto server FreeIPA.

In questa sezione installerai il server FreeIPA, quindi configurerai una distribuzione interattiva di FreeIPA tramite la riga di comando "ipa-server-install", fornita dal pacchetto FreeIPA.

Immettere il seguente comando "dnf install" per installare il server FreeIPA, il DNS FreeIPA e i pacchetti client FreeIPA. Quando richiesto, inserisci y per confermare e premi INVIO per procedere.

sudo dnf install freeipa-server freeipa-server-dns freeipa-client

Una volta installato FreeIPA, inserisci il seguente comando "ipa-server-install" per avviare la distribuzione interattiva del tuo server FreeIPA. In questo esempio, utilizzerai il parametro '--setup-dns', che installerà anche il server DNS sul tuo server FreeIPA.

sudo ipa-server-install --setup-dns

Nel seguente output, dovresti vedere l'elenco delle attività che farai per impostare e configurare il server FreeIPA.

Innanzitutto, "ipa-server-install" verificherà l'fqdn del tuo sistema e assicurerà che l'fqdn del tuo server sia indirizzato all'indirizzo IP corretto (tramite DNS o /etc/hosts). In questo esempio, i fqdn 'ipa.hwdomain.lan' sono configurati tramite il file /etc/hosts, quindi sei pronto per partire.

Per il nome di dominio e il nome di realm predefiniti, entrambi seguiranno il fqdn dell'host. Quindi, il fqdn 'ipa.hwdomain.lan' ti darà il nome di dominio predefinito "hwdomain.lan" con il nome del realm "HWDOMAIN.LAN".

Premere INVIO per utilizzare il valore predefinito per il nome host (fqdn), il nome di dominio e il nome del realm.

Ora inserisci una nuova password per il Directory Manager e l'utente amministratore IPA. Assicurati di utilizzare più di 8 caratteri e una password complessa.

Successivamente, ti verrà chiesto di impostare i forwarder DNS predefiniti per il tuo server FreeIPA e di impostare il DNS inverso (rDNS) dell'indirizzo IP del tuo server FreeIPA. Premere INVIO per confermare la configurazione predefinita per entrambe le impostazioni.

Lasciarlo come predefinito per la configurazione del nome di dominio NetBIOS e premere INVIO. Per le impostazioni NTP, inserire il n.

Ora rivedi le impostazioni di base del tuo server FreeIPA, quindi inserisci "" per confermare e premi INVIO per procedere con l'installazione.

Una volta completata l'installazione del server FreeIPA, dovresti ricevere un output come "Installazione completata - Il comando ipa-server-install ha avuto successo". Vedrai anche le istruzioni per i passaggi successivi, ovvero la configurazione di un firewall per aprire alcune porte e come ottenere un ticket Kerberos per un amministratore.

Con questo hai terminato la configurazione di base del server FreeIPA tramite 'ipa-server-install'. Nel passaggio successivo, ti autenticherai con Kerberos e otterrai un ticket amministrativo che ti consentirà di configurare FreeIPA dal tuo terminale.

Autenticazione amministrativa Kerberos e dashboard dell'interfaccia utente Web FreeIPA

Dopo aver configurato il server FreeIPA tramite 'ipa-server-install', ora verificherai l'installazione di FreeIPA ottenendo un ticket di amministrazione da Kerberos e accedendo alla dashboard di amministrazione web di FreeIPA.

Inserisci il seguente comando 'kinit' per autenticarti sul server Kerberos tramite l'utente 'admin'. Quando ti viene richiesta la password, inserisci la password dell'amministratore IPA.

kinit admin

Ora verifica l'autenticazione e l'elenco dei ticket Kerberos ottenuti inserendo il seguente comando 'klist'.

klist

Se l'autenticazione Kerberos ha esito positivo, dovresti ricevere un output del ticket memorizzato nella cache per l'entità predefinita "[email " come mostrato nello screenshot seguente.

Successivamente, verificherai il server FreeIPA visitando il dashboard di amministrazione dal tuo computer locale. Prima di iniziare, apri il file '/etc/hosts' sul tuo computer locale tramite il seguente comando dell'editor nano.

sudo nano /etc/hosts

Aggiungi la seguente riga al file e assicurati di modificare l'indirizzo IP del nome di dominio con i dettagli del server FreeIPA.

# ip - domain
192.168.5.25  ipa.hwdomain.lan ipa

Salva e chiudi il file una volta terminato.

Successivamente, apri il browser web e visita il nome di dominio del server FreeIPA (ad esempio: https://ipa.hwdomain.lan/). Dovresti vedere la pagina di accesso di FreeIPA.

Inserisci l'amministratore utente predefinito e la tua password FreeIPA, quindi fai clic su "Accedi".

In caso di successo, dovresti ottenere la dashboard di amministrazione web di FreeIPA come nello screenshot seguente.

Con questo in mente, ora hai installato e configurato con successo il server FreeIPA su Rocky Linux 9. Nel passaggio successivo, imparerai come gestire il server FreeIPA aggiungendo un nuovo utente e gruppo tramite terminale, quindi aggiungi un nuovo host Linux macchina utilizzando il pacchetto client FreeIPA.

Configura il primo utente e gruppo FreeIPA

In questa sezione imparerai come utilizzare il comando "ipa" per gestire utenti e gruppi. Utilizzerai il comando 'ipa' con parametri diversi per creare un utente, controllare un elenco di utenti, creare un gruppo, controllare l'elenco di gruppi e aggiungere un utente FreeIP a un gruppo specifico. Infine, verificherai l'elenco degli utenti e dei gruppi tramite la dashboard di amministrazione di FreeIPA.

Inserisci il seguente comando "ipa config-mod" per modificare la shell predefinita per gli utenti FreeIPA in "/bin/bash". Una volta eseguito, questo comando stamperà anche altre impostazioni utente predefinite per FreeIPA.

ipa config-mod --defaultshell=/bin/bash

Di seguito è riportato un output simile che verrà stampato sul tuo terminale.

Successivamente, inserisci il seguente comando 'ipa user-add' per aggiungere un nuovo FreeIPA. In questo esempio creerai un nuovo utente "rocky". Quando viene richiesta una password, inserisci e verifica una nuova password per il tuo utente.

ipa user-add rocky --first=Rocky --last=Linux --password

Ora verifica i dettagli dell'utente "rocky" inserendo il comando "ipa user-find" di seguito. Quando vedi le informazioni dettagliate sull'utente "rocky", significa che hai creato con successo un utente FreeIPA.

ipa user-find rocky

Puoi anche utilizzare il comando 'ipa user-show' per mostrare i dettagli degli utenti FreeIPA.

ipa user-show --raw rocky

Produzione :

Successivamente, inserisci il seguente comando 'ipa group-add' per creare un nuovo gruppo chiamato "sviluppo". Quindi, verifica il gruppo "sviluppo inserendo il comando "ipa group-find" per assicurarti che il gruppo venga creato.

ipa group-add --desc='Development Team' development
ipa group-find development

Un output "1 gruppo corrispondente conferma che il gruppo "sviluppo" è stato aggiunto e disponibile sul server FreeIPA.

Ora inserisci il seguente comando 'ipa group-add-member' per aggiungere l'utente FreeIPA "rocky" al gruppo "development".

ipa group-add-member --user=rocky development

L'output "Numero di membri aggiunti 1" conferma che l'utente "rocky" è stato aggiunto al gruppo "sviluppo '.

Ora torna alla dashboard di amministrazione di FreeIPA, fai clic sul menu "Identità" e poi sulla scheda "Utenti". Ora dovresti vedere il nuovo utente FreeIPA "rocky" creato e disponibile sul server FreeIPA.

Infine, fai clic sulla scheda "Gruppi" per verificare l'elenco dei gruppi su FreeIPA. Il nuovo gruppo 'sviluppo' è disponibile sul server FreeIPA. Fai clic sul gruppo "sviluppo" per ottenere informazioni dettagliate e dovresti vedere l'utente "rocky" aggiunto e disponibile nello "sviluppo" gruppo.

A questo punto, hai creato un utente e un gruppo FreeIPA dal terminale tramite lo strumento di gestione dei comandi "ipa". Inoltre, hai verificato che il tuo utente e il tuo gruppo siano stati aggiunti tramite la dashboard di amministrazione web di FreeIPA. Nel passaggio successivo imparerai come aggiungere un host/macchina Linux al server FreeIPA.

Aggiunta di host al server FreeIPA: Rocky Linux

FreeIPA fornisce il modo più semplice per aggiungere un nuovo host al server FreeIPA, cosa che può essere eseguita tramite il pacchetto client FreeIPA che fornisce l'utilità 'ipa-client-install'. In questa sezione, aggiungerai una macchina Rocky Linux 9 al server FreeIPA 'ipa.hwdomain.lan'.

Di seguito sono riportati i passaggi che devi eseguire per aggiungere un nuovo host al server FreeIPA:

  • Aggiungi record DNS host dal server FreeIPA
  • Configura il file /etc/hosts e il file /etc/resolv.conf
  • Installazione del client FreeIPA e aggiunta dell'host tramite 'ipa-client-install'

Ora iniziamo ad aggiungere l'host Rocky Linux al server FreeIPA.

Aggiungi record DNS

Innanzitutto, devi aggiungere il record DNS del tuo computer client al server FreeIPA. E questo può essere fatto tramite il comando 'ipa dnsrecord-add' che puoi eseguire dal server FreeIPA.

Inserisci quanto segue "ipa dnsrecord-add" per aggiungere un nuovo record DNS per la macchina host "client" con l'indirizzo IP "192.168.5.80 >'. In questo modo, il computer client avrà il nome di dominio "client.hwdomain.lan".

In questo esempio, definirai il record A per l'host chiamato 'client' con l'indirizzo IP '192.168.5.80'. Il dominio 'hwdomain.lan' segue il nome di dominio predefinito del tuo server FreeIPA.

ipa dnsrecord-add hwdomain.lan client --a-rec 192.168.5.80

Ora verifica il record DNS "client" inserendo il comando "ipa dnsrecord-find" di seguito. Dovresti vedere la macchina 'client' con il record A risolto nell'indirizzo IP '192.168.5.80'.

ipa dnsrecord-find hwdomain.lan client

Infine, inserisci il seguente comando 'dig' per verificare il nome di dominio DNS del computer client 'client.hwdomain.lan'.

dig client.hwdomain.lan

In caso di esito positivo, dovresti ricevere un output come questo: il nome di dominio della macchina client 'client.hwdomain.lan' punta all'indirizzo IP del server '192.168.5.80'.

Con questo, ora sei pronto per configurare la macchina "client" e aggiungerla al server FreeIPA.

Configura FQDN, /etc/hosts e risolutore

Ora connettiti al computer 'client' per configurare le impostazioni di sistema di base prima di installare i pacchetti client FreeIPA.

In questa sezione imposterai il file '/etc/hosts' e definirai il nome di dominio e l'indirizzo IP del server FreeIPA. Quindi, modificherai il file '/etc/resolv.conf' per impostare il risolutore DNS predefinito della macchina 'client' utilizzando il risolutore DNS del server FreeIPA. Ciò garantirà che il tuo computer client possa accedere al server FreeIPA tramite il nome di dominio.

Inserisci il seguente comando dell'editor nano per aprire il file "/etc/hosts".

sudo nano /etc/hosts

Aggiungi le seguenti righe al file e assicurati di modificare l'indirizzo IP e il nome del dominio con il tuo server FreeIPA.

# ip - fqdn/domain - hostname
192.168.5.25    ipa.hwdomain.lan    ipa

Salvare ed uscire dal file una volta terminato.

Successivamente, apri il file "/etc/resolv.conf" utilizzando il seguente comando dell'editor nano.

sudo nano /etc/resolv.conf

Aggiungi la seguente riga all'inizio della riga e assicurati di modificare l'indirizzo IP con l'indirizzo IP del tuo server FreeIPA.

# list resolver
nameserver 192.168.5.25

Salva e chiudi il file una volta terminato.

Infine, inserisci il seguente comando "ping" per verificare il nome di dominio del server FreeIPA e il nome di dominio del computer client.

ping -c3 ipa.hwdomain.lan
ping -c3 client.hwdomain.lan

Dovresti ricevere un output come questo: il nome di dominio del server FreeIPA 'ipa.hwdomain.lan' punterà all'indirizzo IP '192.168.5.25' come definito nel file '/etc/ host'.

E il nome di dominio della macchina client 'client.hwdomain.lan' verrà indirizzato all'indirizzo IP corretto '192.168.5.80', che è configurato tramite il server DNS FreeIPA e conferma che le impostazioni del risolutore DNS sono corrette e adeguate.

Con questo, sei pronto per installare il pacchetto client FreeIPA e aggiungere il tuo computer client al server FreeIPA.

Installazione e configurazione del client

Innanzitutto, inserisci il seguente comando 'dnf install' per installare il pacchetto client FreeIPA e il pacchetto aggiuntivo 'oddjob-mkhomedir'. Quando richiesto, inserire y per confermare e premere INVIO per procedere.

sudo dnf install freeipa-client oddjob-mkhomedir

Al termine dell'installazione, inserisci il seguente comando "ipa-client-install" per aggiungere il tuo computer client al server FreeIPA. Assicurati di modificare il parametro '--server=ipa.hwdomain.lan' con il tuo server FreeIPA e anche '--domain hwdomain.lan' e ' Parametri --realm HWDOMAIN.LAN.

ipa-client-install --hostname=`hostname -f` \
--mkhomedir \
--server=ipa.hwdomain.lan \
--domain hwdomain.lan \
--realm HWDOMAIN.LAN

Inserisci "" per procedere con il valore fisso dei dettagli del server FreeIPA. e per le impostazioni del server NTP, inserisci "no".

Ora rivedi le configurazioni del client, quindi inserisci "" per confermare.

Ti verrà ora richiesta l'autenticazione dell'utente sul server Kerberos. Ciò è necessario perché il ticket Kerberos deve essere memorizzato nella cache quando si aggiunge un nuovo host al server FreeIPA.

Inserisci l'utente predefinito "admin" e inserisci la tua password. In caso di successo, dovresti ricevere un output come questo: il processo dovrebbe ora iniziare.

Al termine del processo, dovresti ricevere un output come "Configurazione client completata - Il comando ipa-client-install ha avuto successo".

Tenendo presente questo, ora hai aggiunto una macchina client Rocky Linux al server FreeIPA tramite l'utilità 'ipa-client-install' fornita dal pacchetto client FreeIPA. Ora puoi anche accedere al computer client utilizzando l'utente FreeIPA che hai aggiunto.

Accesso al client tramite utente FreeIPA

In questa sezione, verificherai l'installazione del server e del client FreeIPA connettendoti al computer client tramite l'utente FreeIPA. Ti connetterai al computer host "client.hwdomain.lan" con l'utente FreeIPA "rocky" tramite SSH.

Torna al tuo server FreeIPA ed esegui il comando 'ssh' di seguito per connetterti al 'client.hwdomain'lan' con l'utente FreeIPA 'rocky'. Inserisci "" per accettare l'impronta digitale SSH del computer host.

ssh [email 

Quando ti viene richiesta la password, inserisci la password per l'utente FreeIPA 'rocky'. Quando avrai la password corretta, ti verrà chiesto di cambiare la password corrente con una nuova password.

Inserisci la password corrente, quindi inserisci la nuova password per l'utente "rocky" e ripeti la password. Una volta completata l'operazione, dovresti aver effettuato l'accesso alla macchina "client.hwdomain.lan" tramite l'utente FreeIPA "rocky". Inoltre, la directory home per l'utente FreeIPA viene creata automaticamente durante il processo di accesso.

Inserisci il seguente comando per verificare lo stato corrente della tua connessione. Dovresti vedere che l'utente che stai utilizzando è "rocky", che fa parte del gruppo "development". Inoltre, puoi vedere che l'fqdn del computer client è "client.hwdomain.lan".

id
whoami
hostname -f

Infine, tramite la dashboard di amministrazione web, verificherai l'elenco degli host/macchine disponibili sul server FreeIPA.

Torna al dashboard di amministrazione di FreeIPA e fai clic sul menu "Identità", quindi seleziona la scheda "Host". Dovresti vedere "client.hwdomain.lan" aggiunto e disponibile sul server FreeIPA.

Ora fai clic sul collegamento "client.hwdomain.lan" per ottenere informazioni dettagliate sull'host. Dovresti ottenere i dettagli della macchina host nello screenshot seguente.

Tenendo presente questo, ora hai installato con successo il server FreeIPA su Rocky Linux 9 e hai anche aggiunto l'host client Rocky Linux tramite il client FreeIPA.

Conclusione

In questo tutorial hai imparato come installare e distribuire il server FreeIPA sul server ROcky Linux 9. Hai configurato il server FreeIPA su Rocky Linux con DNS abilitato tramite Bind e anche firewall configurato.

Oltre a ciò, hai anche imparato l'utilizzo di base del comando 'ipa' per creare e gestire utenti e gruppi FreeIPA, e anche imparato come ottenere il ticket Kerberos tramite il comando kinit e accedere all'amministrazione web di FreeIPA tramite l'utente amministratore e parola d'ordine.

Infine, hai aggiunto la macchina client al server FreeIPA tramite il pacchetto client FreeIPA. Hai imparato passo passo come farlo e hai anche verificato le tue impostazioni accedendo al computer client tramite l'utente FreeIPA.

Con questo, ora puoi aggiungere più host, utenti e gruppi a il tuo server FreeIPA. Puoi anche integrare FreeIPA nella tua produzione. Per ottenere informazioni dettagliate, visitare la documentazione ufficiale di FreeIPA.

Articoli correlati: