FreeIPA是一個集成安全信息管理解決方案,FreeIPA服務器通過存儲管理計算機網絡安全方面所需的用戶、組、主機和其他對象的數據,提供集中的身份驗證、授權和賬戶信息。結合了Linux、Directory Server、MIT Kerberos、NTP、DNS、Dogtag(認證系統)。它由Web界面和命令行管理工具組成。類似於windows中的AD域
環境准備
| IP | hostname | 系統 | 用途 |
| 192.168.48.128 | freeipa.bigdata-heboan.com | CentOS7.4 | 服務端 |
| 192.168.48.129 | client01.bigdata-heboan.com | CentOS7.4 | 客戶端 |
systemctl stop firewalld.service systemctl disable firewalld.service setenforce 0 vi /etc/selinux/conf 設置SELINUX=disabled
安裝配置ipa-server (freeipa.bigdata-heboan.com )
①安裝ipa-server
yum install ipa-server bind bind-dyndb-ldap ipa-server-dns
②配置ipa-server
[root@freeipa ~]# ipa-server-install --setup-dns
Server host name [server.test.co]: ---回車鍵(默認) Please confirm the domain name [test.co]: ---回車鍵(默認) Please provide a realm name [TEST.CO]: ---回車鍵(默認) Directory Manager password: ---設置目錄管理的密碼 最少是8位 IPA admin password: ---設置ipa 管理員admin的密碼 最少8位 一定要記住,后面要用到 Do you want to configure DNS forwarders? [yes]: no ---你想配置dns為轉發器嗎? 選擇no Do you want to search for missing reverse zones? [yes]: yes --你想配置dns的反向域嗎?選擇yes Continue to configure the system with these values? [no]: yes --繼續配置系統其他的值? 選擇yes
驗證ipa-server
[root@freeipa ~]# kinit admin Password for admin@BIGDATA-HEBOAN.COM: [root@freeipa ~]# ipa user-find --all
瀏覽器訪問https://freeipa.bigdata-heboan.com/ipa/ui
部署客戶端(client01.bigdata-hebona.com)
①修改客戶端的DNS(網卡的配置),然后重啟網絡
DNS1=192.168.48.128 #指向freeipa server DNS2=114.114.114.114
②安裝ipa-client
yum install -y ipa-client
②配置 client加入域
[root@client01 ~]# ipa-client-install --domain=bigdata-heboan.com --no-ntp --realm=BIGDATA-HEBOAN.COM –-mkhomedir
然后根據提示輸入對應設置 Continue to configure the system with these values? [no]: yes ---繼續配置系統其他的值? 選擇yes User authorized to enroll computers: admin ---域管理員 Password for admin@BIGDATA-HEBOAN.COM: ---密碼
在web ui上可以看到客戶端已經加進來了
基本使用
①添加一個用戶
②策略---HBAC規則,刪除默認規則
添加一條規則
現在在任意一台主機上使用heboan賬號遠程 client01.bigdata-heboan.com
ssh可以正常登錄了,試試sudo, 居然提示說不允許
目前用戶heboan只是一個普通用戶的權限,並不能使用sudo命令,如果想使用sudo提權,還是需要配置sudo規則
注意,配置sudo規則后,並不會實時生效,默認會讀取緩存,該緩存每15分鍾增量更新一次,如果想實時生效,可以修改客戶端/etc/sssd/sssd.conf
//增加以下兩行 ladb_sudo_full_refresh_interval = 3600 ladp_sudo_smart_refresh_interval = 30
//重啟sssd服務 systemctl restart sssd
再次嘗試執行 sudo
FreeIPA常用命令
啟動、停止、檢查IPA服務
ipactl [-f] start/stop/status
注:-f表示強制執行,可忽略由於某一服務啟動失敗導致整體啟動失敗的問題
顯示replica列表
ipa-replica-manage list 注:完整的命令為ipa-replica-manage [OPTION]… [connect|disconnect|del|list|re-initialize|force-sync]
備份數據
ipa-backup –data –online
默認備份位置為/var/lib/ipa/backup/
恢復數據
ipa-restore –online /var/lib/ipa/backup/ipa-data-/