Come installare FreeIPA su Rocky Linux
Su questa pagina
- Prerequisiti
- Impostazione FQDN
- Installazione dei pacchetti server FreeIPA
- Configurazione del server FreeIPA
- Impostazione del firewalld
- Verifica dell'autenticazione dell'amministratore Kerberos
- Accesso alla dashboard di FreeIPA
- Conclusione
FreeIPA è una soluzione di gestione delle identità gratuita e open source per i sistemi operativi Linux/Unix. È un progetto a monte del sistema di gestione delle identità RedHat, che fornisce soluzioni di autenticazione e autorizzazione per i sistemi Linux/Unix.
FreeIPA è costruito su più componenti, tra cui Directory Server, DNS, Kerberos, PKI, Certmonger, NTP Server, interfaccia utente di amministrazione web, ecc. Fornisce una fonte centralizzata di credenziali utente e controllo degli accessi. L'utilizzo di FreeIPA consente agli amministratori di gestire facilmente l'identità in un ambiente centralizzato e fornisce anche il monitoraggio degli utenti, l'autenticazione e il controllo degli accessi.
In questa guida, ti mostreremo come installare il gestore di identità FreeIPA sul server Rocky Linux.
Prerequisiti
- Un server Linux Rock Linux 8.5.
- Un utente non root con privilegi di amministratore sudo.
Configurazione FQDN
Inizialmente, configurerai il nome di dominio completo (Fully Qualified Domain Name) e il file /etc/hosts del tuo server Rocky Linux.
Per configurare l'FQDN del server, eseguire il comando seguente. In questo esempio, utilizziamo l'FQDN ipa.hwdomain.io.
sudo hostnamectl set-hostname ipa.hwdomain.io
Ora modifica il file /etc/hosts usando il nano editor.
sudo nano /etc/hosts
Immettere i dettagli dell'indirizzo IP del server e l'FQDN del server come di seguito.
192.168.10.25 ipa.hwdomain.io ipa
Salvare il file premendo Ctrl+x e inserire Y per confermare e salvare il file.
Quindi, esegui il seguente comando per verificare l'FQDN del tuo server Rocky Linux.
hostname -f
Dovresti ottenere l'output dell'FQDN del server come ipa.hwdomain.io.
Infine, esegui il comando ping di seguito per verificare che l'FQDN sia stato risolto nell'indirizzo IP del server corretto.
ping -c3 ipa.hwdomain.io
Nello screenshot seguente, l'FQDN ipa.hwdomain.io è risolto e raggiungibile sull'indirizzo IP 192.168.10.25.
Passare al passaggio successivo per avviare l'installazione di FreeIPA.
Installazione dei pacchetti server FreeIPA
Se hai completato la configurazione del file FQDN e /etc/hosts, ora installerai i pacchetti FreeIPA sul sistema Rocky Linux.
Sul sistema Rocky Linux, tutti i pacchetti relativi a FreeIPA sono disponibili sul modulo idm:DL1. Devi abilitare il modulo idm:DL1 per poter installare i pacchetti FreeIPA.
Esegui il seguente comando per abilitare il modulo idm:DL1 sul tuo sistema Rocky Linux.
sudo dnf module enable idm:DL1
Immettere Y per confermare e abilitare il modulo.
Successivamente, installa i pacchetti FreeIPA utilizzando il comando dnf di seguito. ipa-server è il pacchetto principale di FreeIPA e ipa-server-dns è un pacchetto aggiuntivo per FreeIPA che fornisce la funzionalità del server DNS.
sudo dnf install ipa-server ipa-server-dns -y
Attendi l'installazione di tutti i pacchetti, ci vorrà del tempo a seconda della tua connessione al server.
Al termine dell'installazione, passare al passaggio successivo per avviare la configurazione del server FreeIPA.
Configurazione del server FreeIPA
Ora configurerai il server FreeIPA sul sistema Rocky Linux.
Prima di configurare il server FreeIPA, assicurati che l'IPv6 sul tuo server sia abilitato e attivato. il server FreeIPA rileverà automaticamente un errore quando IPv6 è abilitato nello spazio del kernel, ma non è disponibile nello stack di rete.
Controlla l'indirizzo IP del tuo server per verificare che IPv6 sia disponibile sulla tua interfaccia di rete.
sudo ip a
Nello screenshot seguente, vedrai inet6 sull'output, il che significa che IPv6 è disponibile sull'interfaccia di rete locale e sei pronto per configurare il server FreeIPA.
Successivamente, esegui il comando ipa-server-install di seguito per avviare la configurazione del server FreeIPA.
sudo ipa-server-install --setup-dns --allow-zone-overlap
Innanzitutto, ti verranno mostrate le informazioni di base su ciò che farai per configurare il server FreeIPA.
The log file for this installation can be found in /var/log/ipaserver-install.log
==============================================================================
This program will set up the IPA Server.
Version 4.9.6
This includes:
* Configure a stand-alone CA (dogtag) for certificate management
* Configure the NTP client (chronyd)
* Create and configure an instance of Directory Server
* Create and configure a Kerberos Key Distribution Center (KDC)
* Configure Apache (httpd)
* Configure DNS (bind)
* Configure SID generation
* Configure the KDC to enable PKINIT
Il server FreeIPA rileverà automaticamente l'FQDN del server e lo utilizzerà come nome host del server predefinito. Premere INVIO per confermare e continuare.
To accept the default shown in brackets, press the Enter key.
Enter the fully qualified domain name of the computer
on which you're setting up server software. Using the form
<hostname>.<domainname>
Example: master.example.com.
Server host name [ipa.hwdomain.io]:
Ora dovrai impostare il nome di dominio per il tuo server FreeIPA. Questo verrà rilevato automaticamente, che si basa sul nome di dominio completo del server. In questo esempio l'FQDN del server è ipa.hwdomain.io, quindi il nome di dominio deve essere hwdomain.io.
Premere INVIO per confermare e continuare.
Warning: skipping DNS resolution of host ipa.hwdomain.io
The domain name has been determined based on the host name.
Please confirm the domain name [hwdomain.io]:
Ora dovrai configurare il nome di dominio REALM per l'autenticazione Kerberos. Nella maggior parte dei casi, è uguale al nome di dominio FreeIPA, ma con lettere maiuscole.
The kerberos protocol requires a Realm name to be defined.
This is typically the domain name converted to uppercase.
Please provide a realm name [HWDOMAIN.IO]:
Immettere una nuova password per il server di directory. la password deve contenere almeno 8 caratteri, quindi assicurati di utilizzare una password complessa per il gestore di directory.
Certain directory server operations require an administrative user.
This user is referred to as the Directory Manager and has full access
to the Directory for system management tasks and will be added to the
instance of directory server created for IPA.
The password must be at least 8 characters long.
Directory Manager password:
Password (confirm):
Ora inserisci un'altra password per l'utente amministratore IPA. Questo utente verrà utilizzato per accedere al server FreeIPA o per l'autenticazione su Kerberos come utente amministratore. Assicurati di utilizzare una password sicura per il tuo utente amministratore IPA.
The IPA server requires an administrative user, named 'admin'.
This user is a regular system account used for IPA server administration.
IPA admin password:
Password (confirm):
Nel passaggio successivo, ti verrà chiesto di configurare un server d'inoltro DNS. Premi INVIO per continuare e FreeIPA rileverà automaticamente il file /etc/resolv.conf corrente come DNS forwarder.
Checking DNS domain hwdomain.io., please wait ...
Do you want to configure DNS forwarders? [yes]: yes
Following DNS servers are configured in /etc/resolv.conf: 192.168.121.1
Do you want to configure these servers as DNS forwarders? [yes]:
Ora ti verrà chiesto di creare una zona inversa per l'indirizzo IP del tuo server FreeIPA. Premi INVIO per continuare e FreeIPA creerà automaticamente una nuova zona inversa per l'indirizzo IP del tuo server.
Do you want to search for missing reverse zones? [yes]:
Do you want to create reverse zone for IP 192.168.10.25 [yes]:
Please specify the reverse zone name [10.168.192.in-addr.arpa.]:
Using reverse zone(s) 10.168.192.in-addr.arpa.
Trust is configured but no NetBIOS domain name found, setting it now.
Enter the NetBIOS name for the IPA domain.
Only up to 15 uppercase ASCII letters, digits and dashes are allowed.
Example: EXAMPLE.
NetBIOS domain name [HWDOMAIN]:
Per la configurazione NTP, lascialo come predefinito e premi INVIO per no.
Do you want to configure chrony with NTP server or pool address? [no]:
Ora ti verrà chiesto di confermare l'installazione e la configurazione del server FreeIPA. Controlla di nuovo le configurazioni dettagliate del server FreeIPA, quindi inserisci yes e premi INVIO per confermare l'installazione e la configurazione.
The IPA Master Server will be configured with:
Hostname: ipa.hwdomain.io
IP address(es): 192.168.10.25
Domain name: hwdomain.io
Realm name: HWDOMAIN.IO
The CA will be configured with:
Subject DN: CN=Certificate Authority,O=HWDOMAIN.IO
Subject base: O=HWDOMAIN.IO
Chaining: self-signed
BIND DNS server will be configured to serve IPA domain with:
Forwarders: 192.168.121.1
Forward policy: only
Reverse zone(s): 10.168.192.in-addr.arpa.
Continue to configure the system with these values? [no]: yes
Ora inizierà l'installazione e la configurazione di FreeIPA.
The following operations may take some minutes to complete.
Please wait until the prompt is returned.
Disabled p11-kit-proxy
Synchronizing time
No SRV records of NTP servers found and no NTP server or pool address was provided.
Using default chrony configuration.
Attempting to sync time with chronyc.
Time synchronization was successful.
Configuring directory server (dirsrv). Estimated time: 30 seconds
[1/41]: creating directory server instance
[2/41]: tune ldbm plugin
[3/41]: adding default schema
[4/41]: enabling memberof plugin
Una volta completata l'installazione e la configurazione di FreeIPA, verrà visualizzato il seguente messaggio di output.
Nel messaggio di output sottostante verrai anche informato sul passaggio successivo per la configurazione del firewall per il server FreeIPA. Dovrai aprire alcune porte per il server FreeIPA, quindi verificare l'autenticazione utilizzando l'utente admin rispetto al server Kerberos.
==============================================================================
Setup complete
Next steps:
1. You must make sure these network ports are open:
TCP Ports:
* 80, 443: HTTP/HTTPS
* 389, 636: LDAP/LDAPS
* 88, 464: kerberos
* 53: bind
UDP Ports:
* 88, 464: kerberos
* 53: bind
* 123: ntp
2. You can now obtain a Kerberos ticket using the command: 'kinit admin'
This ticket will allow you to use the IPA tools (e.g., ipa user-add)
and the web user interface.
Be sure to back up the CA certificates stored in /root/cacert.p12
These files are required to create replicas. The password for these
files is the Directory Manager password
The ipa-server-install command was successful
Ora hai completato l'installazione e la configurazione del server FreeIPA.
Configurazione di Firewalld
In questo passaggio, aggiungerai alcuni servizi alle regole di Firewalld. Ciò include i servizi di base per il server FreeIPA come LDAP, DNS e HTTPS.
Esegui il comando firewall-cmd di seguito per aggiungere alcuni servizi per il server FreeIPA a Firewalld.
sudo firewall-cmd --add-service={http,https,dns,ntp,freeipa-ldap,freeipa-ldaps} --permanentSuccessivamente, ricarica le regole di Firewalld utilizzando il comando seguente.
sudo firewall-cmd --reload
Infine, verifica l'elenco delle regole del Firewalld utilizzando il comando seguente.
sudo firewall-cmd --list-all
Nello screenshot qui sotto tutti i servizi per il server FreeIPA vengono aggiunti al Firewalld.
Verifica dell'autenticazione dell'amministratore Kerberos
Dopo aver configurato Firewalld, ora verificherai l'autenticazione rispetto a Kerberos sul tuo server FreeIPA.
Eseguire il comando seguente per eseguire l'autenticazione sul server Kerberos utilizzando l'utente admin.
kinit admin
Ora ti verrà richiesta la password del tuo server IPA. Immettere la password corretta.
Dopo essere stato autenticato correttamente, esegui il comando seguente per verificare l'elenco dei ticket Kerberos sul tuo server.
klist
Nello screenshot seguente, il nuovo ticket Kerberos per l'amministratore utente è disponibile e l'autenticazione sul server Kerberos ha esito positivo.
Accesso alla dashboard di FreeIPA
In questo passaggio, verificherai l'installazione di FreeIPA accedendo alla dashboard di amministrazione web di FreeIPA.
Apri il tuo browser web e visita l'indirizzo IP del tuo server o FQDN come di seguito. Ora vedrai la pagina di accesso di FreeIPA.
Inserisci l'utente e la password dell'amministratore di FreeIPA, quindi fai clic sul pulsante Accedi.
Una volta effettuato l'accesso, vedrai la dashboard di amministrazione di FreeIPA di seguito.
Conclusione
Congratulazioni! Ora hai installato e configurato con successo FreeIPA su Rocky Linux. Inoltre, ti sei autenticato correttamente sul server Kerberos utilizzando l'utente amministratore IPA e hai effettuato l'accesso al server FreeIPA.