如何在 RHEL 8 上安裝 FreeIPA 伺服器

你是否正在尋找有關如何在 Linux 上安裝 FreeIPA 伺服器的簡單指南？

此頁面上的分步指南將展示如何在 RHEL 8、Rocky Linux 8 和 AlmaLinux 8 上安裝 FreeIPA 伺服器。

FreeIPA 是一個自由開源的基於 Linux 系統的集中式身份和訪問管理工具，它是 Red Hat 身份管理器的上游項目。使用 FreeIPA，我們可以輕鬆地管理集中式身份驗證以及帳戶管理、策略（基於主機的訪問控制）和審計。

FreeIPA 基於以下開源項目：

• LDAP 伺服器 – 基於 389 項目
• KDC – 基於 MIT Kerberos 實現
• 基於 Dogtag 項目的 PKI
• 用於活動目錄集成的 Samba 庫
• 基於 BIND 和 Bind-DynDB-LDAP 插件的 DNS 伺服器
• NTP

先決條件

• 預裝 RHEL 8 或 Rocky Linux 8 或 AlmaLinux 8
• 具有管理員許可權的 Sudo 用戶
• 內存 = 2 GB
• CPU = 2 個 vCPU
• 磁碟 = 根目錄有 12GB 可用空間
• 互聯網連接

FreeIPA 的實驗室詳細信息

• IP 地址 = 192.168.1.102
• Hostanme = ipa.linuxtechi.lan
• 操作系統：RHEL 8 或 Rocky Linux 8 或 AlmaLinux 8

事不宜遲，讓我們深入了解 FreeIPA 安裝步驟。

1、設置主機名並安裝更新

打開伺服器的終端並使用 hostnamectl 命令設置主機名：

$ sudo hostnamectl set-hostname "ipa.linuxtechi.lan"
$ exec bash

使用 yum/dnf 命令安裝更新，然後重新啟動：

$ sudo dnf update -y
$ sudo reboot

2、更新主機文件並將 SELinux 設置為許可

運行以下 tee 命令更新 /etc/hosts 文件，根據你的設置替換 IP 地址和主機名。

$ echo -e "192.168.1.102tipa.linuxtechi.lant ipa" | sudo tee -a /etc/hosts

將 SELinux 設置為許可，運行以下命令：

$ sudo setenforce 0
$ sudo sed -i 's/^SELINUX=.*/SELINUX=permissive/g' /etc/selinux/config
$ getenforce
Permissive

3、安裝 FreeIPA 及其組件

Appstream 包倉庫中提供了 FreeIPA 包及其依賴項。由於我們計劃安裝集成 DNS 的 FreeIPA，因此我們還將安裝 ipa-server-dns 和 bind-dyndb-ldap。

運行以下命令安裝 FreeIPA 及其依賴項：

$ sudo dnf -y install @idm:DL1
$ sudo dnf install freeipa-server ipa-server-dns bind-dyndb-ldap -y

4、開始安裝 FreeIPA

成功安裝 FreeIPA 包及其依賴項後，使用以下命令啟動 FreeIPA 安裝設置。

它將提示幾件事，例如配置集成 DNS、主機名、域名和領域名。

$ sudo ipa-server-install

上述命令的輸出如下所示：

在上面的窗口中輸入 「yes」 後，需要一些時間來配置你的 FreeIPA 伺服器，設置成功後，我們將得到下面的輸出：

以上輸出確認 FreeIPA 已成功安裝。

5、在防火牆中允許 FreeIPA 埠

如果正在你的伺服器上運行系統防火牆，那麼運行如下 firewall-cmd 命令以允許 FreeIPA 埠：

$ sudo firewall-cmd --add-service={http,https,dns,ntp,freeipa-ldap,freeipa-ldaps} --permanent
$ sudo firewall-cmd --reload

6、訪問 FreeIPA 管理門戶

執行下面的 ipactl 命令查看 FreeIPA 的所有服務是否都在運行：

$ ipactl status
You must be root to run ipactl.
$ sudo ipactl status
Directory Service: RUNNING
krb5kdc Service: RUNNING
kadmin Service: RUNNING
named Service: RUNNING
httpd Service: RUNNING
ipa-custodia Service: RUNNING
pki-tomcatd Service: RUNNING
ipa-otpd Service: RUNNING
ipa-dnskeysyncd Service: RUNNING
ipa: INFO: The ipactl command was successful
$

讓我們使用 kinit 命令驗證管理員用戶是否會通過 Kerberos 獲取令牌，使用我們在 FreeIPA 安裝期間提供的相同管理員用戶密碼。

$ kinit admin
$ klist

以上命令的輸出：

完美，上面的輸出確認管理員獲得了令牌。現在，嘗試訪問 FreeIPA Web 控制台，在網路瀏覽器上輸入以下 URL：

https://ipa.linuxtechi.lan/ipa/ui

或者

https://<Server-IPAddress>/ipa/ui

使用我們在安裝過程中指定的用戶名 admin 和密碼。

對於 FreeIPA Web 控制台，使用自簽名 SSL 證書，這就是我們看到此窗口的原因，因此單擊「 接受風險並繼續 Accept the Risk and Continue 」。

輸入憑據後，單擊「 登錄 Log in 」。

這證實我們已在 RHEL 8/Rocky Linux 8 / AlmaLinux8 上成功設置 FreeIPA。

這就是全部，我希望你覺得它提供了很多信息。請在下面的評論部分中發表你的疑問和反饋。

（題圖：MJ/9df57ea0-b5a0-48f9-a323-853a28ca6162）

via: https://www.linuxtechi.com/install-freeipa-rhel-rocky-almalinux/

作者：Pradeep Kumar 選題：lkxed 譯者：geekpi 校對：wxy

本文由 LCTT 原創編譯，Linux中國 榮譽推出

本文轉載來自 Linux 中國: https://github.com/Linux-CN/archive