- 如何以APP方式部署FreeIPA
- 如何使用keepalived保证FreeIPA的高可用性
- 如何在FreeIPA中挂载网盘
- 如何在FreeIPA创建管理员
- 如何在FreeIPA中管理web端口
- 如何使用FreeIPA建立与外部AD Forest的受信任关系
- 如何通过FreeIPA进行ovirt身份认证
- 如何在FreeIPA自动挂载文件系统
一、FreeIPAPP
FreeIPA是一个大而全的解决方案,其包含了许多应用程序。为了使管理员能够更加容易地部署,FreeIPA提供了FreeIPA APP,这是一种可以自动安装和配置所有应用程序的方式。下面是使用FreeIPA APP以及systemctl在CentOS7中部署FreeIPA的命令:
# yum install -y ipa-server ipa-server-trust-ad ipa-server-dns ipa-server-trust-ad # domain="example.com" # master="ipa1.$domain" # pass="password" # ipa-server-install -r $domain -n $(hostname) -a $pass --hostname $master -U --setup-dns --forwarder=8.8.8.8 -p $pass --setup-ca --no-ntp
二、FreeIPA keepalived
使用keepalived可以保证FreeIPA的高可用性。当你使用FreeIPA keepalived时,你需要创建虚拟IP地址(VIP),并将其分配给FreeIPA。虚拟IP地址可以随时间变化。如果一台服务器出现问题,则move_service选项将尝试重新启动另一台服务器上的服务。以下是CentOS 7上keepalived安装的命令,并且check.sh用于检查keepalived执行操作的功能是否正确:
# yum install -y keepalived # cat > /etc/keepalived/check.sh <> \${log_file} EOF # chmod +x /etc/keepalived/check.sh
三、FreeIPA挂载网盘
FreeIPA支持挂载网络共享,可以让你直接从FreeIPA登录到网络共享。以下是指定FreeIPA挂载NFS网络共享的命令:
ipa netgroup-add-member allhosts --nisdomain=example.com ipa automountkey-add freeipanfs default --key="(rw,hard,bg,intr,noatime)" --info="Mount directory" --location=file:///mnt/nfs ipa automountlocation-add freeipanfs auto.home --add-mount="-fstype=nfs4 server:/export/home/&" --info="Load users home directories" --options="nosuid,nodev,soft,nobootwait" ipa automountmap-add freeipa --key="-fstype=nfs4 server:/export/home/&" --info="auto.home" --mount="/home/&" ipa automountkey-add freeipanfs users --key="(rw,hard,bg,intr,noatime)" --info="Mount directory" --location=file:///mnt/nfs ipa automountmap-add freeipa --key="/- /home/&" --info="users" --mount="/mnt/nfs/users"
四、FreeIPA创建管理员
创建IPA管理员的最初步骤就是创建了所有对象和秘密数据。通过以下命令可以创建管理员(需要在root账户下进行):
kinit admin ipa config-mod --enable-migration=1 ipa user-add admin --shell="/bin/bash" --first="Red" --last="Hat" --password
五、FreeIPA web 端口
默认情况下,FreeIPA的Web界面服务运行在389端口。但有时需要将HTTP端口更改为80,即使用默认HTTP端口。这是特别有用的,因为大多数Web浏览器无法友好地处理非标准端口。要更改FreeIPA的HTTP端口,请在服务器上完成以下步骤:
# sed -i 's/WsgiServer /WsgiServer -D \${OPTIONS} --port=80 /g' /usr/lib/systemd/system/httpd.service
六、FreeIPA trust ad
要在FreeIPA环境中建立与外部AD Forest的受信任关系,需要使用两个命令:ipa-adtrust-install和ipa trust-add。这两个命令会执行一系列的任务,并创建信任关系。以下是建立与Oak Forest域的受信任关系的命令:
ipa-adtrust-install --uninstall ipa-adtrust-install --enable-compat ipa trust-add --type=ad --admin Administrator --password
七、FreeIPA ovirt身份认证
如果你使用的是oVirt作为虚拟化管理器,那么配置FreeIPA,以进行oVirt的身份认证是非常有用的事情。要使用FreeIPA进行ovirt身份认证,需要使用以下命令:
# engine-config --set AuthenticationMethod=kerberos # kinit admin # authconfig --enablekrb5 --update # yum install -y ovirt-engine-ext-aaa-ldap ovirt-engine-extension-aaa-ldap-setup # ovirt-engine-extension-aaa-ldap-setup
八、FreeIPA automount选取
要使用FreeIPA Automount,你需要执行以下步骤:
- 首先安装可以自动挂载的NFS共享,如下所示:
# mkdir /mnt/nfs # echo 'nfsserver:/nfs /mnt/nfs nfs rw,vers=3,auto 0 0' >> /etc/fstab # mount -a
- 之后安装autofs包:
# yum install -y autofs
- 之后就可以通过ipa automountkey-add命令向默认的LDAP目录中添加挂载条目。
以上就是本文对FreeIPA的详细阐述,当然还有很多其它方面的知识等待你的挖掘。通过学习和实践,相信你会成为一名FreeIPA的专家。