如何在 CentOS 7 上安装 FreeIPA 服务器
本教程适用于这些操作系统版本
- 中央操作系统 8
- 中央操作系统 7
在此页
- 第 1 步 - 设置主机
- 第 2 步 - 安装 FreeIPA 包
- 第 3 步 - 设置 FreeIPA 服务器
- 第 4 步 - 验证管理员
- 第 5 步 - 添加新用户
- 第 6 步 - 测试登录
- 链接
FreeIPA 是由 RedHat 赞助的免费开源身份、策略和审计 (IPA) 套件。它是 Linux (Fedora)、389 Directory Server、MIT Kerberos、NTP、DNS Bind、Dogtag、Apache Web 服务器和 Python 的 IPA 解决方案组合。
FreeIPA 带有命令行管理工具和运行在 Python 和 Apache 网络服务器之上的漂亮的网络用户界面。目前,达到最新稳定版4.7.0。
在本教程中,我们将向您展示如何在 CentOS 7 服务器上安装和配置 FreeIPA。我们将使用最新的 CentOS 7 服务器和 2GB 内存,并安装最新稳定版本的 FreeIPA 软件包。
基本系统要求:
- 推荐内存 RAM 2GB 或更多
- 具有 root 权限的 RHEL 或 CentOS 7 或 Fedora
我们将要做什么:
- 设置主机
- 安装 FreeIPA 包
- 设置 FreeIPA 服务器
- 验证管理员
- 添加新用户
- 测试登录
第 1 步 - 设置主机
首先,我们要更改服务器主机名,然后编辑 /etc/hosts 文件并设置 FQDN。
运行以下命令更改服务器的主机名。
hostnamectl set-hostname ipa.hakase-labs.io
之后,编辑系统的 /etc/hosts 文件。
vim /etc/hosts
添加以下配置。
10.9.9.15 ipa.hakase-labs.io ipa
保存并关闭。
现在从服务器注销并再次登录,然后使用以下命令验证主机名和 FQDN。
hostname
hostname -f

这样我们就有了主机名 ipa 和 FQDN ipa.hakase-labs.io 的 CentOS 7 服务器。
第 2 步 - 安装 FreeIPA 包
设置服务器的主机名和 FQDN 后,我们将从官方 CentOS 存储库安装 FreeIPA 软件包。
以 root 身份运行以下 yum 命令。
sudo yum install ipa-server bind-dyndb-ldap ipa-server-dns -y
安装包后,我们将向防火墙添加新服务。最重要的是,将 http、https、ldap、ldaps、Kerberos 和 kpasswd 服务添加到防火墙配置中。
运行以下 bash 命令,然后重新加载 firewalld 服务。
for SERVICES in ntp http https ldap ldaps kerberos kpasswd dns; do firewall-cmd --permanent --add-service=$SERVICES; done
firewall-cmd --reload
因此,已安装 FreeIPA 软件包并将所有 FreeIPA 服务添加到防火墙配置中。

第 3 步 - 设置 FreeIPA 服务器
在此步骤中,我们将设置 FreeIPA 服务器和 DNS。为此,FreeIPA 提供了一个交互式命令行。所以我们可以轻松地管理 FreeIPA 配置。
运行以下命令来配置 FreeIPA 服务器。
ipa-server-install --setup-dns
首先,我们需要配置服务器主机名、域名和 REALM 名称。输入您自己的域名和服务器名称如下,然后继续。
Server host name [ipa.hakase-labs.io]: ipa.hakase-labs.io
Please confirm the domain name [hakase-labs.io]: hakase-labs.io
Please provide a realm name [HAKASE-LABS.IO]: HAKASE-LABS.IO
之后,您需要配置目录管理器和 FreeIPA 管理员密码。输入您自己的凭据并继续。
Directory Manager password: hakasemanager123
Password (confirm): hakasemanager123
IPA admin password: hakaseadmin123
Password (confirm): hakaseadmin123

接下来,为 DNS 转发器配置键入 Yes。然后键入其他解析器 IP 地址并继续。
Do you want to configure DNS forwarders? [yes]: yes
Do you want to configure these servers as DNS forwarders? [yes]: yes
Enter an IP address for a DNS forwarder, or press Enter to skip: 1.1.1.1
Enter an IP address for a DNS forwarder, or press Enter to skip: 8.8.8.8
Enter an IP address for a DNS forwarder, or press Enter to skip: Press Enter
输入 yes 并继续搜索并创建丢失的反向区域。
Do you want to search for missing reverse zones? [yes]: yes
现在系统会提示您创建 FreeIPA 服务器 IP 地址的反向区域。输入 yes 并继续。
Do you want to create reverse zone for IP 10.9.9.15 [yes]: yes
Please specify the reverse zone name [9.9.10.in-addr.arpa.]: Press Enter
最后,您将被要求将上述所有配置应用于系统。输入 yes 并等待 FreeIPA 配置。
Continue to configure the system with these values? [no]: yes

并且FreeIPA配置完成,你会得到如下结果。

第 4 步 - 验证管理员
在这个阶段,我们已经在 CentOS 7 服务器上设置了 FreeIPA。现在我们要验证我们的配置。
使用 kinit 命令验证 Kerberos 管理员密码。
kinit admin
输入您的管理员密码并确保没有错误。
之后,使用以下命令验证 admin 用户在 FreeIPA 数据库上是否可用。
ipa user-find admin

接下来,我们将验证 FreeIPA 管理 web-UI。
打开网络浏览器,在地址栏中输入您的 FreeIPA 域名。我的是:
https://ipa.hakase-labs.io/
您将获得 FreeIPA web-UI 登录页面。

使用您在第 3 步中选择的用户 admin 和密码登录。
您将获得 FreeIPA 管理仪表板。也就是说,FreeIPA在CentOS 7上的安装配置是正确的。

第 5 步 - 添加新用户
对于此示例,我们将创建一个名为 hiroyuki 的新 FreeIPA 用户。当然,您可以将其替换为您自己的用户。然后尝试使用该新用户通过 SSH 访问服务器。
在开始之前,编辑 LDAP 客户端配置以启用创建主目录。在下面运行以下命令。
sudo authconfig --enablemkhomedir --update
现在通过运行下面的 ipa 命令创建 hiroyuki。
ipa user-add hiroyuki --first=Sawano --last=Hiroyuki --shell=/bin/bash --password
输入您的强密码。
之后,在 FreeIPA 系统上检查您的用户。确保您在服务器上获得您的用户。
ipa user-find hiroyuki

新的 FreeIPA 用户已创建并准备好进行测试。

第 6 步 - 测试登录
我们将做一个测试,从本地计算机通过 SSH 连接到 FreeIPA 服务器,并使用我们刚刚在第 5 步创建的用户,在这个例子中是 hiroyuki。
从您的本地系统,运行下面的 ssh 命令。
ssh
现在输入您的密码。完成后,您将看到密码过期通知,请输入您当前的密码以更改新密码。
结果,现在您位于您的主目录并使用我们刚刚创建的 FreeIPA 使用成功登录到服务器。

至此,FreeIPA在CentOS 7服务器上的安装配置已经成功完成。
链接
- <李>
- 如何在 CentOS 7 上安装 FreeIPA 客户端
- 如何在 Ubuntu Server 18.04 上安装 FreeIPA 客户端