Como instalar e configurar o Freeipa no Red Hat Linux

Como instalar e configurar o Freeipa no Red Hat Linux

Objetivo

Nosso objetivo é instalar e configurar um servidor independente independente no Red Hat Enterprise Linux.

Sistema operacional e versões de software

  • Sistema operacional: Red Hat Enterprise Linux 7.5
  • Programas: Freeipa 4.5.4-10

Requisitos

Acesso privilegiado ao servidor de destino, repositório de software disponível.

Dificuldade

MÉDIO

Convenções

  • # - requer que os comandos Linux sejam executados com privilégios root diretamente como usuário root ou por uso de sudo comando
  • $ - dados os comandos do Linux a serem executados como um usuário não privilegiado regular

Introdução

O Freeipa é principalmente um serviço de diretório, onde você pode armazenar informações sobre seus usuários, e seus direitos sobre o login, tornam -se raiz ou apenas executam um comando específico como root em seus sistemas que se juntam ao seu domínio Freeipa, e muito mais. Embora esse seja o principal recurso do serviço, existem componentes opcionais que podem ser muito úteis, como DNS e PKI - isso faz do Freeipa uma parte infraestrutural essencial de um sistema baseado em Linux. Tem uma boa GUI baseada na Web e uma poderosa interface de linha de comando.

Neste tutorial, veremos como instalar e configurar um servidor independente independente em um Red Hat Enterprise Linux 7.5. Observe que, no entanto, em um sistema de produção, você é aconselhado a criar pelo menos mais uma réplica para fornecer alta disponibilidade. Estaremos hospedando o serviço em uma máquina virtual com 2 núcleos de CPU e 2 GB de RAM - em um grande sistema, você pode querer adicionar mais alguns recursos. Nossa máquina de laboratório é executada em Rhel 7.5, instalação base. Vamos começar.

Para instalar e configurar um servidor Freeipa, é bem fácil - o Gotcha está no planejamento. Você deve pensar em quais partes da pilha de software você deseja usar e qual é o ambiente que você deseja executar esses serviços. Como o Freeipa pode lidar com o DNS, se você estiver construindo um sistema a partir do zero, pode ser útil dar um domínio DNS inteiro ao Freeipa, onde todas as máquinas clientes chamarão os servidores Freeipa para DNS. Esse domínio pode ser um subdomínio da sua infraestrutura, você pode até definir um subdomínio apenas para os servidores Freeipa - mas pense que isso vale com cuidado, pois você não pode alterar o domínio posteriormente. Não use um domínio existente, o Freeipa precisa pensar que é o mestre do domínio especificado (o instalador verificará se o domínio pode ser resolvido e se tiver um registro de SOA além de si próprio).

O PKI é outra pergunta: se você já possui uma CA (autoridade de certificado) em seu sistema, pode querer configurar o Freeipa como uma CA subordinada. Com a ajuda do CertMonger, a Freeipa tem a capacidade de renovar automaticamente certificados de clientes (como o certificado SSL de um servidor da Web), que pode ser útil - mas se o sistema não tiver serviço de Internet, você pode não precisar do serviço PKI da FreeIPA de forma alguma. Tudo depende do caso de uso.

Neste tutorial, o planejamento já está feito. Queremos construir um novo laboratório de testes, então instalaremos e configuraremos todos os recursos do Freeipa, incluindo DNS e PKI com um certificado CA autoassinado. O Freeipa pode gerar isso para nós, sem necessidade de criar um com ferramentas como OpenSSL.



Requisitos

O que deve ser configurado primeiro é uma fonte de NTP confiável para o servidor (o Freeipa também atuará como um servidor NTP, mas precisa de uma fonte naturalmente) e uma entrada no servidor do servidor /etc/hosts Arquivo apontando para si mesmo:

# gato /etc /hosts 127.0.0.1 localhost localhost.LocalDoMain LocalHost4 localhost4.LocalDomain4 :: 1 localhost host.LocalDoMain LocalHost6 LocalHost6.LocalDomain6 192.168.122.147 RHEL7.IPA.LinuxConfig.org rhel7 
cópia de

E o nome do host fornecido no arquivo hosts deve ser o FQDN da máquina.

# hostName RHEL7.IPA.LinuxConfig.org 
cópia de

Este é um passo importante, não perca. O mesmo nome de host necessário no arquivo de rede:

# Grep hostName/etc/sysconfig/hostname de rede = rhel7.IPA.LinuxConfig.org 
cópia de

Instalando pacotes

O software necessário está incluído no Red Hat Enterprise Linux Server ISO Imagem ou canal de assinatura, sem repositórios adicionais necessários. Nesta demonstração, há um conjunto de repositório local que tem o conteúdo da imagem ISO. A pilha de software é acumulada, então um único comando yum fará:

# yum instalar ipa-server ipa-server-dns 
cópia de

Em uma instalação base, o Yum fornecerá uma longa lista de dependências, incluindo Apache Tomcat, Apache HTTPD, 389-DS (o servidor LDAP) e assim por diante. Após o término do yum, abra as portas necessárias no firewall:

# firewall-cmd --add-service = Freeipa-LDAP Sucesso # firewall-cmd --add-service = freeipa-ldap-sucesso 
cópia de

Configurar

Agora vamos configurar nosso novo servidor Freeipa. Isso levará tempo, mas você só precisou para a primeira parte, quando o instalador pedir parâmetros. A maioria dos parâmetros pode ser passada como argumentos para o instalador, mas não daremos nada, assim podemos nos beneficiar das configurações anteriores.

# IPA-SERVER-INSTALL O arquivo de log para esta instalação pode ser encontrado em/var/log/ipaserver-Install.log ================================================== ============================ Este programa configurará o servidor IPA. Isso inclui: * Configure uma CA independente (DOGTAG) para gerenciamento de certificados * Configure o daemon da rede (NTPD) * Crie e configure uma instância do servidor de diretório * Crie e configure um centro de distribuição de chave Kerberos (KDC) * Configure Apache ( httpd) * Configure o KDC para permitir que o pkinit aceite o padrão mostrado entre colchetes, pressione a tecla Enter. Aviso: Serviço de sincronização de tempo e data conflitante 'Chronyd' será desativado em favor do NTPD ## vamos usar o servidor DNS integrado Você deseja configurar o DNS integrado (bind)? [Não]: Sim, insira o nome de domínio totalmente qualificado do computador no qual você está configurando o software do servidor. Usando o formulário . Exemplo: Master.exemplo.com. ## pressionando 'Enter' significa que aceitamos o padrão nas pulseiras ## Esta é a razão pela qual configuramos o FDQN adequado para o host Nome do host do servidor [RHEL7.IPA.LinuxConfig.org]: aviso: pulando a resolução do host rhel7.IPA.LinuxConfig.org O nome de domínio foi determinado com base no nome do host. ## agora não precisamos digitar/colar o nome de domínio ## e o instalador não precisa tentar definir o nome do host Confirme o nome de domínio [IPA.LinuxConfig.org]: O protocolo Kerberos requer que um nome de reino seja definido. Este é normalmente o nome de domínio convertido em maiúsculas. ## O reino Kerberos é mapeado do nome de domínio Por favor, forneça um nome de reino [IPA.LinuxConfig.Org]: certas operações do servidor de diretório exigem um usuário administrativo. Este usuário é chamado de Directory Manager e tem acesso total ao diretório para tarefas de gerenciamento de sistemas e será adicionado à instância do servidor de diretório criado para IPA. A senha deve ter pelo menos 8 caracteres. ## O usuário do Directory Manager é para as operações de baixo nível, como criar réplicas Senha do gerenciador de diretórios: ## Use uma senha muito forte em um ambiente de produção! Senha (confirmar): O servidor IPA requer um usuário administrativo, chamado 'Admin'. Este usuário é uma conta regular do sistema usada para a administração do servidor IPA. ## Admin é a "raiz" do sistema Freeipa - mas não o diretório LDAP Senha do administrador da IPA: senha (confirmar): verificando o domínio DNS IPA.LinuxConfig.org., por favor, aguarde… ## poderíamos configurar encaminhadores, mas isso pode ser definido mais tarde Você quer configurar os encaminhadores do DNS? [Sim]: Não, nenhum DNS Forwarders configurado Você deseja procurar zonas reversas ausentes? [Sim]: Não, o servidor mestre da IPA será configurado com: HostName: RHEL7.IPA.LinuxConfig.Endereço IP da Org): 192.168.122.147 Nome do domínio: IPA.LinuxConfig.Nome do Reino da Org: IPA.LinuxConfig.Org Bind DNS Server será configurado para servir o domínio IPA com: Forwarders: Nenhum encaminhador Política: Somente zona (s) reversa: nenhuma zona reversa continua a configurar o sistema com esses valores? [Não]: Sim ## Neste ponto, o instalador funcionará por conta própria, ## e concluirá o processo em alguns minutos. O momento perfeito para o café. As seguintes operações podem levar alguns minutos para concluir. Por favor, espere até que o prompt seja devolvido. Configurando Daemon NTP (NTPD) [1/4]: Parando o NTPD… 

A saída do instalador é bastante longa, você pode ver como todos os componentes configurados, reiniciados e verificados. No final da saída, existem algumas etapas necessárias para a funcionalidade completa, mas não para o próprio processo de instalação.

… O comando IPA-Client-Install foi bem-sucedido ========================================= ====================================== Configuração Complete os próximos passos: 1. Você deve garantir que essas portas de rede estejam abertas: portas TCP: * 80, 443: http/https * 389, 636: LDAP/LDAPS * 88, 464: Kerberos * 53: Bind UDP Portas: * 88, 464: Kerberos * 53 : Bind * 123: NTP 2. Agora você pode obter um bilhete Kerberos usando o comando: 'Kinit admin' Este ingresso permitirá que você use as ferramentas IPA (e.g., IPA User-ADD) e a interface do usuário da Web. Certifique -se de fazer backup dos certificados CA armazenados em /raiz /cacert.P12 Esses arquivos são necessários para criar réplicas. A senha para esses arquivos é a senha do Directory Manager 

Como o instalador aponta, certifique -se de fazer backup do certificado da CA e abrir portas adicionais necessárias no firewall.

Agora vamos ativar a criação do diretório doméstico no login:

# authconfig --enablemkhomedir -update 


Verificação

Podemos começar a testar se tivermos uma pilha de serviços de trabalho. Vamos testar se podemos obter um ticket kerberos para o usuário administrador (com a senha dada ao usuário administrador durante a instalação):

# kinit admin senha para [email protected]: # Klist Ticket Cache: Keyring: Persistente: 0: 0 Principal padrão: [email protected] válido de partida expire Principal do Serviço 2018-06-24 21.44.30 2018-06-25 21.44.28 krbtgt/[email protected] 

A máquina host está inscrita em nosso novo domínio, e as regras padrão concedem acesso SSH ao usuário administrador criado acima para todos os hosts inscritos. Vamos testar se essas regras funcionam conforme o esperado, abrindo a conexão SSH com a localhost:

# ssh admin@localhost senha: criando diretório inicial para admin. Último login: sol 24 de junho 21:41:57 2018 de localhost $ pwd /home /admin $ saída 

Vamos verificar o status de toda a pilha de software:

# IpActl Status Directory Service: executando o serviço KRB5KDC: Execução do Kadmin Service: Running Nomeado Serviço: Execução do Serviço HTTPD: Execução do IPA-Custodia Serviço: Execução do Serviço NTPD: Execução do Serviço Pki-Tomcatd: Execução do Serviço IPA-Otpd: Execução do IPA-DNSKeySyncd Serviço: Executando IPA: Info: O comando ipactl foi bem -sucedido 
cópia de

E - com o ticket Kerberos adquirido anteriormente - peça informações sobre o usuário administrador usando a ferramenta CLI:

# IPA User-Find Admin -------------- 1 Usuário Combated -------------- Login do usuário: Sobrenome do Admin: Diretório da casa do Administrador: /Home /admin login shell: /bin /bash alias diretores: [email protected] uid: 630200000 GID: 630200000 Conta desativada: false ---------------------------- Número de entradas retornadas 1 ---------------------------- 
cópia de

E, finalmente, faça login na página de gerenciamento baseada na Web usando as credenciais do usuário do administrador (a máquina executando o navegador deve poder resolver o nome do servidor Freeipa). Use https, o servidor será redirecionado se http simples for usado. Enquanto instalamos um certificado raiz autoassinado, o navegador nos avisará sobre isso.

Página de login do Freeipa Wui

A página padrão após o login mostra a lista de nossos usuários, onde agora apenas o usuário administrador aparece.

A página padrão após o login é a lista de usuário em Freeipa Wui

Com isso concluímos nossa meta, temos um servidor Freeipa em execução pronto para ser povoado com usuários, hosts, certificados e várias regras.

Tutoriais do Linux relacionados:

  • Coisas para instalar no Ubuntu 20.04
  • Coisas para fazer depois de instalar o Ubuntu 20.04 fossa focal linux
  • Uma introdução à automação, ferramentas e técnicas do Linux
  • Download do Linux
  • Arquivos de configuração do Linux: os 30 primeiros mais importantes
  • Linux pode obter vírus? Explorando a vulnerabilidade do Linux…
  • Coisas para instalar no Ubuntu 22.04
  • Coisas para fazer depois de instalar o Ubuntu 22.04 Jellyfish…
  • Melhor distro Linux para desenvolvedores
  • Mint 20: Melhor que o Ubuntu e o Microsoft Windows?