你是否正在尋找有關(guān)如何在 Linux 上安裝 FreeIPA 服務(wù)器的簡單指南？

此頁面上的分步指南將展示如何在 RHEL 8、Rocky Linux 8 和 AlmaLinux 8 上安裝 FreeIPA 服務(wù)器。

FreeIPA 是一個自由開源的基于 Linux 系統(tǒng)的集中式身份和訪問管理工具，它是 Red Hat 身份管理器的上游項目。使用 FreeIPA，我們可以輕松地管理集中式身份驗證以及帳戶管理、策略（基于主機(jī)的訪問控制）和審計。

FreeIPA 基于以下開源項目：

• LDAP 服務(wù)器 – 基于 389 項目
• KDC – 基于 MIT Kerberos 實現(xiàn)
• 基于 Dogtag 項目的 PKI
• 用于活動目錄集成的 Samba 庫
• 基于 BIND 和 Bind-DynDB-LDAP 插件的 DNS 服務(wù)器
• NTP

先決條件

• 預(yù)裝 RHEL 8 或 Rocky Linux 8 或 AlmaLinux 8
• 具有管理員權(quán)限的 Sudo 用戶
• 內(nèi)存 = 2 GB
• CPU = 2 個 vCPU
• 磁盤 = 根目錄有 12GB 可用空間
• 互聯(lián)網(wǎng)連接

FreeIPA 的實驗室詳細(xì)信息

• IP 地址 = 192.168.1.102
• Hostanme = ipa.linuxtechi.lan
• 操作系統(tǒng)：RHEL 8 或 Rocky Linux 8 或 AlmaLinux 8

事不宜遲，讓我們深入了解 FreeIPA 安裝步驟。

1、設(shè)置主機(jī)名并安裝更新

打開服務(wù)器的終端并使用 hostnamectl 命令設(shè)置主機(jī)名：

$ sudo hostnamectl set-hostname "ipa.linuxtechi.lan"
$ exec bash

使用 yum/dnf 命令安裝更新，然后重新啟動：

$ sudo dnf update -y
$ sudo reboot

2、更新主機(jī)文件并將 SELinux 設(shè)置為許可

運(yùn)行以下 tee 命令更新 /etc/hosts 文件，根據(jù)你的設(shè)置替換 IP 地址和主機(jī)名。

$ echo -e "192.168.1.102\tipa.linuxtechi.lan\t ipa" | sudo tee -a /etc/hosts

將 SELinux 設(shè)置為許可，運(yùn)行以下命令：

$ sudo setenforce 0
$ sudo sed -i 's/^SELINUX=.*/SELINUX=permissive/g' /etc/selinux/config
$ getenforce
Permissive

3、安裝 FreeIPA 及其組件

Appstream 包倉庫中提供了 FreeIPA 包及其依賴項。由于我們計劃安裝集成 DNS 的 FreeIPA，因此我們還將安裝 ipa-server-dns 和 bind-dyndb-ldap。

運(yùn)行以下命令安裝 FreeIPA 及其依賴項：

$ sudo dnf -y install @idm:DL1
$ sudo dnf install freeipa-server ipa-server-dns bind-dyndb-ldap -y

4、開始安裝 FreeIPA

成功安裝 FreeIPA 包及其依賴項后，使用以下命令啟動 FreeIPA 安裝設(shè)置。

它將提示幾件事，例如配置集成 DNS、主機(jī)名、域名和領(lǐng)域名。

$ sudo ipa-server-install

上述命令的輸出如下所示：

在上面的窗口中輸入 “yes” 后，需要一些時間來配置你的 FreeIPA 服務(wù)器，設(shè)置成功后，我們將得到下面的輸出：

以上輸出確認(rèn) FreeIPA 已成功安裝。

5、在防火墻中允許 FreeIPA 端口

如果正在你的服務(wù)器上運(yùn)行系統(tǒng)防火墻，那么運(yùn)行如下 firewall-cmd 命令以允許 FreeIPA 端口：

$ sudo firewall-cmd --add-service={http,https,dns,ntp,freeipa-ldap,freeipa-ldaps} --permanent
$ sudo firewall-cmd --reload

6、訪問 FreeIPA 管理門戶

執(zhí)行下面的 ipactl 命令查看 FreeIPA 的所有服務(wù)是否都在運(yùn)行：

$ ipactl status
You must be root to run ipactl.
$ sudo ipactl status
Directory Service: RUNNING
krb5kdc Service: RUNNING
kadmin Service: RUNNING
named Service: RUNNING
httpd Service: RUNNING
ipa-custodia Service: RUNNING
pki-tomcatd Service: RUNNING
ipa-otpd Service: RUNNING
ipa-dnskeysyncd Service: RUNNING
ipa: INFO: The ipactl command was successful
$

讓我們使用 kinit 命令驗證管理員用戶是否會通過 Kerberos 獲取令牌，使用我們在 FreeIPA 安裝期間提供的相同管理員用戶密碼。

$ kinit admin
$ klist

以上命令的輸出：

完美，上面的輸出確認(rèn)管理員獲得了令牌?，F(xiàn)在，嘗試訪問 FreeIPA Web 控制臺，在網(wǎng)絡(luò)瀏覽器上輸入以下 URL：

https://ipa.linuxtechi.lan/ipa/ui

或者

https://<Server-IPAddress>/ipa/ui

使用我們在安裝過程中指定的用戶名 admin 和密碼。

對于 FreeIPA Web 控制臺，使用自簽名 SSL 證書，這就是我們看到此窗口的原因，因此單擊“接受風(fēng)險并繼續(xù)Accept the Risk and Continue”。

輸入憑據(jù)后，單擊“登錄Log in”。

這證實我們已在 RHEL 8/Rocky Linux 8 / AlmaLinux8 上成功設(shè)置 FreeIPA。

這就是全部，我希望你覺得它提供了很多信息。請在下面的評論部分中發(fā)表你的疑問和反饋。

（題圖：MJ/9df57ea0-b5a0-48f9-a323-853a28ca6162）