×

FREEIPA:ipa-server的部署使用

hqy hqy 发表于2022-04-01 17:37:09 浏览1270 评论0

抢沙发发表评论

Ipa-server部署文档


 https://blog.51cto.com/superleedo/2154838


Ipa-server服务主要提供域标识,账户认证,策略管理


其中所需要的服务组件包括,DS ldap dns Kerberos ntp web-ui 等


 


搭建准备:


1两台机器 centos7 静态ip


192.168.1.133 用于服务端


192.168.1.134 用于客户端


2规划主机名 hosts主机名做解析


192.168.1.133 server.test.co server


192.168.1.134 client.test.co  client


3 关闭防火墙(或者开通防火墙和服务)


4 开启ntp时间同步 (设置本地ntp同步或者用阿里ntp)


 


部署步骤:


在192.168.1.133上搭建ipa-server服务端:


1,设置静态IP


vi /etc/sysconfig/network-scripts/ifcfg-eth0


TYPE=Ethernet


BOOTPROTO=static


DEFROUTE=yes


PEERDNS=yes


PEERROUTES=yes


IPV4_FAILURE_FATAL=no


NAME=eth0


DEVICE=eth0


ONBOOT=yes


IPADDR=192.168.1.133


NETMASK=255.255.255.0


GATEWAY=192.168.1.1


DNS1=114.114.114.114


DNS2=8.8.8.8


保存重启网络


systemctl restart network


2,设置主机名


hostnamectl set-hostname server.test.co


hostname server.test.co


vi /etc/hosts


添加域名解析


192.168.1.133 server.test.co server


 


3 关闭防火墙


iptables -F


systemctl stop iptables


systemctl disable iptables


systemctl stop firewalld


systemctl disable firewalld


关闭selinux


setenforce 0


vi /etc/selinux/conf


设置SELINUX=disabled




4 修改时间同步


vi /etc/chrony.conf  注释掉时间服务


添加 server ntp1.aliyun.com iburst


保存后 重启时间服务


systemctl restart chronyd.service




5 配置阿里yum源


cd /etc/yum.repos.d/


wget  http://mirrors.aliyun.com/repo/epel-7.repo


wget  http://mirrors.aliyun.com/repo/Centos-7.repo


 


6 安装ipa-server


需要的包:ipa-server bind bind-dyndb-ldap ipa-server-dns


bind 提供dns服务


bind-dyndb-ldap提供dns和ldap连接


ipa-server-dns提供ipa-server与dns连接


用yum 安装


yum install -y ipa-server bind bind-dyndb-ldap ipa-server-dns




7 配置ipa-server


执行ipa-server-install --setup-dns


Server host name [server.test.co]:     ---回车键(默认)


Please confirm the domain name [test.co]:    ---回车键(默认)


Please provide a realm name [TEST.CO]:  ---回车键(默认)


Directory Manager password:   ---设置目录管理的密码 最少是8位


IPA admin password:  ---设置ipa 管理员admin的密码 最少8位 一定要记住,后面要用到


Do you want to configure DNS forwarders? [yes]: no ---你想配置dns为转发器吗? 选择no


Do you want to search for missing reverse zones? [yes]: yes --你想配置dns的反向域吗?选择yes


Continue to configure the system with these values? [no]: yes --继续配置系统其他的值? 选择yes


接着执行下列命令


systemctl enable sssd  开机启动sssd


systemctl start sssd  开启服务


authconfig  --enablemkhomedir –update   创建用户,家目录 更新认证


 


8 验证ipa-server和dns


[root@server ~]# kinit admin 登录admin管理


Password for admin@TEST.CO: 输入前面设置的admin密码


[root@server ~]# ipa user-find –all  查看所有域用户信息


-------


已匹配1个用户


-------


  dn: uid=admin,cn=users,cn=accounts,dc=test,dc=co


  用户登录名: admin


  姓: Administrator


  全名: Administrator


  主目录: /home/admin


  GECOS: Administrator


  登录shell: /bin/bash


  主体别名: admin@TEST.CO


  UID: 903400000


  GID: 903400000


  禁用账户: False


  备用用户: False


  组成员: admins, trust admins


  ipauniqueid: 380eaae6-9643-11e8-8769-aa47bf0d9338


  krbextradata: AAJS5WJbcm9vdC9hZG1pbkBURVNULkNPAA==


  krblastpwdchange: 20180802110450Z


  krbpasswordexpiration: 20181031110450Z


  objectclass: top, person, posixaccount, krbprincipalaux, krbticketpolicyaux, inetuser, ipaobject, ipasshuser, ipaSshGroupOfPubKeys




验证dns解析


[root@server ~]# dig -t a server.test.co


[root@server ~]# dig -t ptr 133.1.168.192.in-addr.apra


 


9 配置结束 重启系统  


执行reboot


 


10 界面添加用户和主机


设置本地机器host 添加192.168.1.133 server.test.co


浏览器访问https://server.test.co/ipa/ui/   用admin登录






添加用户 lijian 初始密码设置123456


 










接着添加host主机  填写客户端主机名 和 ip 


 


出现下一个窗口后 点击OK即可创建主机


 


//////////////////////////////////


//////////////////////////////////


下面部署客户端192.168.1.134


1 客户端机器基础配置参考 服务端的1-5步骤设置,分别是IP hosts 防火墙 时间同步 yum源


2修改客户端的dns解析,添加ipa-server的ip


vi /etc/resolv.conf


# Generated by NetworkManager


search test.co


nameserver 192.168.1.133  #添加这个解析


nameserver 114.114.114.114


nameserver 8.8.8.8


3安装ipa-client


yum install -y ipa-client


4 配置client 加入域


执行ipa-client-install --domain=test.co --no-ntp --realm=TEST.CO –mkhomedir


然后根据提示输入对应设置


Continue to configure the system with these values? [no]: yes ---继续配置系统其他的值? 选择yes


User authorized to enroll computers: admin ---域管理员


Password for admin@TEST.CO: ---密码


5 验证用户能否登录


[root@client ~]# ssh lijian@client.test.co


Password: ---输入页面设置的密码123456


Password expired. Change your password now.


Current Password:  


New password:  ---设置新密码


Retype new password:


Creating home directory for lijian.  


[lijian@client ~]$   已成功登录


 


 


到此 整个基础配置已经完成


剩下的需要在server界面上根据需求完善配置用户 主机 服务 策略等信息

-----------------------------------

©著作权归作者所有:来自51CTO博客作者super李导的原创作品,请联系作者获取转载授权,否则将追究法律责任

FREEIPA:ipa-server的部署使用

https://blog.51cto.com/superleedo/2154838


打赏

本文链接:https://www.kinber.cn/post/2161.html 转载需授权!

分享到:


推荐本站淘宝优惠价购买喜欢的宝贝:

image.png

 您阅读本篇文章共花了: 

群贤毕至

访客