Selamat datang di panduan kami hari ini tentang cara menginstal dan Setup server FreeIPA di CentOS 8. FreeIPA adalah solusi Identitas dan Otentikasi terintegrasi untuk lingkungan jaringan Linux/UNIX.
Instal dan Setup Server FreeIPA di CentOS 8
Prasyarat
Tetapkan nama host statis untuk sistem Anda. Perhatikan bahwa nama host harus sepenuhnya memenuhi syarat dan tidak boleh localhost atau localhost6.
hostnamectl set-hostname freeipa.kifarunix-demo.com
Jadikan nama host dapat dipecahkan. Jika Anda memiliki server DNS dengan entri server FreeIPA Anda, maka itu baik-baik saja. Jika tidak, konfigurasikan /etc/hostsfile Anda sesuai dengan itu.
echo "192.168.56.123 freeipa.kifarunix-demo.com" | sudo tee -a /etc/hosts
Buka port FreeIPA yang Diperlukan di Firewall
FreeIPA menggunakan sejumlah port untuk berkomunikasi dengan servicenya yang harus dibuka di firewall untuk memungkinkan koneksi eksternal. Anda cukup membuka semua port yang diperlukan menggunakan nama service dengan menjalankan perintah di bawah ini;
firewall-cmd --add-service={freeipa-ldap,freeipa-ldaps,dns,ntp} --permanent
firewall-cmd --reload
Instal FreeIPA di CentOS 8
Paket FreeIPA disediakan oleh modul sistem Manajemen Identitas dari repo CentOS 8 AppStream. Oleh karena itu, Anda perlu mengaktifkan idm:DL1 aliran dengan menjalankan perintah;
dnf module enable idm:DL1
Selanjutnya, jalankan pembaruan sistem
dnf distro-sync
Instal FreeIPA di CentOS 8
dnf install ipa-server ipa-server-dns
Siapkan FreeIPA dengan server DNS terintegrasi
Untuk mengatur server FreeIPA dengan DNS terintegrasi, cukup jalankan perintah pengaturan seperti yang ditunjukkan di bawah ini;
ipa-server-install --setup-dns
Setup akan script pada dasarnya akan mengkonfigurasi;
... * Configure a stand-alone CA (dogtag) for certificate management * Configure the NTP client (chronyd) * Create and configure an instance of Directory Server * Create and configure a Kerberos Key Distribution Center (KDC) * Configure Apache (httpd) * Configure DNS (bind) * Configure the KDC to enable PKINIT
Setelah skrip penyiapan berjalan, Anda akan diminta untuk mengonfigurasi sejumlah opsi. Berikan masukan yang diperlukan sebagaimana mestinya.
... To accept the default shown in brackets, press the Enter key. Enter the fully qualified domain name of the computer on which you're setting up server software. Using the form. Example: master.example.com. Server host name [freeipa.kifarunix-demo.com]: ENTER Warning: skipping DNS resolution of host freeipa.kifarunix-demo.com domain name has been determined based on the host name. Please confirm the domain name [kifarunix-demo.com]: ENTER kerberos protocol requires a Realm name to be defined. This is typically the domain name converted to uppercase. Please provide a realm name [KIFARUNIX-DEMO.COM]: ENTER Certain directory server operations require an administrative user. This user is referred to as the Directory Manager and has full access to the Directory for system management tasks and will be added to the instance of directory server created for IPA. password must be at least 8 characters long. Directory Manager password: SET YOUR PASSWORD Password (confirm): SET YOUR PASSWORD IPA server requires an administrative user, named 'admin'. This user is a regular system account used for IPA server administration. IPA admin password: SET YOUR PASSWORD Password (confirm): SET YOUR PASSWORD Checking DNS domain kifarunix-demo.com., please wait... Do you want to configure DNS forwarders? [yes]: ENTER Following DNS servers are configured in /etc/resolv.conf: 8.8.8.8 Do you want to configure these servers as DNS forwarders? [yes]: ENTER All DNS servers from /etc/resolv.conf were added. You can enter additional addresses now: Enter an IP address for a DNS forwarder, or press Enter to skip: Checking DNS forwarders, please wait... Do you want to search for missing reverse zones? [yes]: ENTER Checking DNS domain 56.168.192.in-addr.arpa., please wait... Do you want to create reverse zone for IP 192.168.56.123 [yes]: ENTER Please specify the reverse zone name [56.168.192.in-addr.arpa.]: ENTER Checking DNS domain 56.168.192.in-addr.arpa., please wait... Using reverse zone(s) 56.168.192.in-addr.arpa. IPA Master Server will be configured with: Hostname: freeipa.kifarunix-demo.com IP address(es): 192.168.56.123 Domain name: kifarunix-demo.com Realm name: KIFARUNIX-DEMO.COM CA will be configured with: Subject DN: CN=Certificate Authority,O=KIFARUNIX-DEMO.COM Subject base: O=KIFARUNIX-DEMO.COM Chaining: self-signed BIND DNS server will be configured to serve IPA domain with: Forwarders: 8.8.8.8 Forward policy: only Reverse zone(s): 56.168.192.in-addr.arpa....
Setelah mengkonfigurasi semua nilai di atas, lanjutkan dengan pengaturan.
... Continue to configure the system with these values? [no]: yes...
Penyiapan kemudian akan dilanjutkan dan membutuhkan waktu beberapa menit untuk menyelesaikannya. Setelah selesai, Anda akan diberikan ringkasan penyiapan.
... ============================================================================== Setup complete Next steps: 1. You must make sure these network ports are open: TCP Ports: * 80, 443: HTTP/HTTPS * 389, 636: LDAP/LDAPS * 88, 464: kerberos * 53: bind UDP Ports: * 88, 464: kerberos * 53: bind * 123: ntp 2. You can now obtain a kerberos ticket using the command: 'kinit admin' This ticket will allow you to use the IPA tools (e.g., ipa user-add) and the web user interface. Be sure to back up the CA certificates stored in /root/cacert.p12 These files are required to create replicas. password for these files is the Directory Manager password ipa-server-install command was successful
Hasilkan tiket kerberos
Untuk menggunakan alat/perintah IPA, menggunakan interface user web dan melakukan tugas administratif lainnya, Anda perlu mendapatkan tiket kerberos dengan menjalankan perintah di bawah ini;
kinit admin
Saat diminta, masukkan password administrator yang disetel selama pengaturan instalasi.
Anda juga dapat membuat daftar tiket kerberos menggunakan klistperintah.
klist
Ticket cache: KCM:0 Default principal: [email protected] Valid starting Expires Service principal 10/14/2019 13:06:09 10/15/2019 13:06:06 krbtgt/[email protected]
Mengakses interface Web FreeIPA
Server FreeIPA sekarang diinstal dan diatur pada CentOS 8. Pengaturan konfigurasi lainnya dapat dilakukan dari interface web. Di browser, Anda dapat mengakses FreeIPA menggunakan alamathttps://freeipa.kifarunix-demo.com.
Abaikan peringatan SSL pribadi dan lanjutkan ke halaman login server FreeIPA. Gunakan nama user,admin dan password admin yang diberikan selama pengaturan instalasi.
Dasbor server CentOS 8 FreeIPA default terlihat seperti;
Sekarang Anda dapat melakukan tugas administratif FreeIPA dari interface web.
Anda juga dapat menjalankan tugas administratif dari command line menggunakan ipa memerintah.
Misalnya, untuk membuat daftar user FreeIPA yang tersedia di server, cukup jalankan perintah;
ipa user-find
-------------- 1 user matched -------------- User login: admin Last name: Administrator Home directory: /home/admin Login shell: /bin/bash Principal alias: [email protected] UID: 1938400000 GID: 1938400000 Account disabled: False ---------------------------- Number of entries returned 1 ----------------------------
Besar. Itu saja panduan kami tentang cara menginstal dan mengatur server FreeIPA di CentOS 8. Tetap terhubung untuk panduan lebih lanjut tentang FreeIPA.
Tutorial Terkait
Cara Instal Server FreeIPA di Fedora 29/Fedora 28/CentOS 7
Siapkan Server OpenLDAP dengan SSL/TLS di Debian 10
Instal dan Konfigurasikan server OpenLDAP di Fedora 29
Instal dan Konfigurasi Server OpenLDAP di Debian 9 Stretch
Konfigurasikan SSSD untuk Otentikasi Client OpenLDAP di Debian 10/9