大数据安全认证FreeIPA部署

大数据安全认证FreeIPA部署

https://blog.51cto.com/flyfish225/2563803

一：FreeIPA 介绍

二：FreeIPA 服务端部署

三：FreeIPA 客户端部署

一：FreeIPA 概述

###1.1:FreeIPA的介绍

FreeIPA是一款集成的安全信息管理解决方案。FreeIPA包含Linux (Fedora),389 Directory Server MIT Kerberos, NTP, DNS, Dogtag (Certificate System)等等身份，认证和策略功能。

1.

2.

1.2 FreeIPA的用处

在未部署统一身份管理系统时，管理员需要分别在每一台主机上为对应的系统管理员创建、维护账号和密码，无法进行统一的管理。当主机数量增加到一定程度后，也将难以进行有效的安全管理，对账号密码泄露等问题难以进行控制。统一身份认证系统可以帮助我们解决这一问题。Windows环境下可以使用域账号进行身份管理，而在Linux环境下，上文中我们部署的Freeipa已经提供了相关功能，可以快速、便捷的将linux系统接入，进行统一的身份认证和权限管理。

MIT KDC

IPA 认证的核心

389 Directory Server

轻量级目录访问

Dogtag Certificate System

一款认证系统,提供强大的安全框架来确保用户的身份以及通讯的私密性

SSSD

SSSD是红帽企业版Linux6中新加入的一个守护进程，该进程可以用来访问多种验证服务器，如LDAP，Kerberos等，并提供授权。SSSD是介于本地用户和数据存储之间的进程，本地客户端首先连接SSSD，再由SSSD联系外部资源提供者(一台远程服务器)

1.

2.

3.

4.

5.

6.

7.

8.

9.

10.

二：FreeIPA 的服务端部署

2.1 环境初始化

系统：

CentOS7.8x64

CDH6.3.2 已经安装完成

停掉httpd 服务器

关闭chronyd server freeIPA 默认用的是NTP  时间同步

首先要确保安装FreeIPA服务的服务器主机名为完全限定域名（FQDN），flyfish这里使用rc07bigdata.vpc.uniondrug.com作为 完整的域名。

1.

2.

3.

4.

5.

6.

7.

8.

9.

2.2 配置FreeIPA 服务端

####2.2.1 配置rngd服务

FreeIPA安装需要大量的随机数运行加密操作，需要安装rngd服务防止操作系统的熵值过低

 yum -y install rng-tools

service rngd start 

chkconfig rngd on 

service rngd status 

1.

2.

3.

4.

5.

6.

7.

8.

2.2.2 配置IPV6的按需支持

vim /etc/sysctl.conf

---

net.ipv6.conf.lo.disable_ipv6 = 0

net.ipv6.conf.all.disable_ipv6 = 0

net.ipv6.conf.default.disable_ipv6 = 0

----

sysctl -p 

1.

2.

3.

4.

5.

6.

7.

8.

2.2.3 配置freeIPA 服务端

安装FreeIPA 的 依赖包

 yum -y install ipa-server ipa-server-dns bind bind-dyndb-ldap

1.

2.

3.

2.2.4 配置带DNS的FreeIPA 服务端

ipa-server-install --setup-dns

  域名： vpc.uniondrug.com 

  密码：12345678

1.

2.

3.

4.

到最后

1.

配置DNS服务器与域

vim /etc/resolv.conf

---

search vpc.uniondrug.com

nameserver 172.16.0.184

nameserver 223.5.5.5

nameserver 114.114.114.114

---

1.

2.

3.

4.

5.

6.

7.

8.

9.

ipactl status

1.

2.

测试kerberos 是否可用

kinit admin ----> 密码：12345678  

klist 

kadmin.local

list_principals

1.

2.

3.

4.

5.

6.

7.

2.2.4 打开web 页面：

https://rc07bigdata.vpc.uniondrug.com

 用户名：admin

 密码：12345678

 这个只认域名不认IP 地址 

1.

2.

3.

4.

5.

6.

2.2.5 创建CDH测试用户

创建cdhadmin 账号 密码 为cdhadmin

1.

2.

创建起来的用户会同步到系统与Kerberos当中

1.

三：freeIPA 客户端的配置

启用rc06bigdata.vpc.uniondrug.com 主机作为客户端测试

vim /etc/reslov.conf 

----

写上DNS 地址

search vpc.uniondrug.com

nameserver 172.16.0.148

----

nslookup rc07-bigdata.yl-uniondrug.com

1.

2.

3.

4.

5.

6.

7.

8.

9.

10.

11.

配置客户端工具：

yum -y install freeipa-client

1.

2.

3.

在命令行中执行

ipa-client-install --mkhomedir --realm=VPC.UNIONDRUG.COM --domain=vpc.uniondrug.com --server=rc07bigdata.vpc.uniondrug.com

FreeIPA 服务的用户名：admin 密码 12345678

1.

2.

3.

4.

5.

6.

客户端rc06bigdata.vpc.uniondrug.com 主机已经注入 FreeIPA 服务器当中

1.

在客户端节点上查看cdhadmin用户已同步

1.

2.

-----------------------------------

©著作权归作者所有：来自51CTO博客作者flyfish225的原创作品，谢绝转载，否则将追究法律责任

大数据安全认证FreeIPA部署

https://blog.51cto.com/flyfish225/2563803

打赏

支付宝微信扫一扫，打赏作者吧～

本文链接：https://www.kinber.cn/post/2162.html 转载需授权！

推荐本站淘宝优惠价购买喜欢的宝贝:

 您阅读本篇文章共花了：