FreeIPA完全指南

• 如何以APP方式部署FreeIPA
• 如何使用keepalived保证FreeIPA的高可用性
• 如何在FreeIPA中挂载网盘
• 如何在FreeIPA创建管理员
• 如何在FreeIPA中管理web端口
• 如何使用FreeIPA建立与外部AD Forest的受信任关系
• 如何通过FreeIPA进行ovirt身份认证
• 如何在FreeIPA自动挂载文件系统

一、FreeIPAPP

FreeIPA是一个大而全的解决方案，其包含了许多应用程序。为了使管理员能够更加容易地部署，FreeIPA提供了FreeIPA APP，这是一种可以自动安装和配置所有应用程序的方式。下面是使用FreeIPA APP以及systemctl在CentOS7中部署FreeIPA的命令：

# yum install -y ipa-server ipa-server-trust-ad ipa-server-dns ipa-server-trust-ad
# domain="example.com"
# master="ipa1.$domain"
# pass="password"
# ipa-server-install -r $domain -n $(hostname) -a $pass --hostname $master -U --setup-dns --forwarder=8.8.8.8 -p $pass --setup-ca --no-ntp

二、FreeIPA keepalived

使用keepalived可以保证FreeIPA的高可用性。当你使用FreeIPA keepalived时，你需要创建虚拟IP地址（VIP），并将其分配给FreeIPA。虚拟IP地址可以随时间变化。如果一台服务器出现问题，则move_service选项将尝试重新启动另一台服务器上的服务。以下是CentOS 7上keepalived安装的命令，并且check.sh用于检查keepalived执行操作的功能是否正确:

# yum install -y keepalived
# cat > /etc/keepalived/check.sh <> \${log_file}
EOF
# chmod +x /etc/keepalived/check.sh

  

三、FreeIPA挂载网盘

FreeIPA支持挂载网络共享，可以让你直接从FreeIPA登录到网络共享。以下是指定FreeIPA挂载NFS网络共享的命令：

ipa netgroup-add-member allhosts --nisdomain=example.com
ipa automountkey-add freeipanfs default --key="(rw,hard,bg,intr,noatime)" --info="Mount directory" --location=file:///mnt/nfs
ipa automountlocation-add freeipanfs auto.home --add-mount="-fstype=nfs4 server:/export/home/&" --info="Load users home directories" --options="nosuid,nodev,soft,nobootwait"
ipa automountmap-add freeipa --key="-fstype=nfs4 server:/export/home/&" --info="auto.home" --mount="/home/&"
ipa automountkey-add freeipanfs users --key="(rw,hard,bg,intr,noatime)" --info="Mount directory" --location=file:///mnt/nfs
ipa automountmap-add freeipa --key="/- /home/&" --info="users" --mount="/mnt/nfs/users"

四、FreeIPA创建管理员

创建IPA管理员的最初步骤就是创建了所有对象和秘密数据。通过以下命令可以创建管理员（需要在root账户下进行）：

kinit admin
ipa config-mod --enable-migration=1
ipa user-add admin --shell="/bin/bash" --first="Red" --last="Hat" --password

五、FreeIPA web 端口

默认情况下，FreeIPA的Web界面服务运行在389端口。但有时需要将HTTP端口更改为80，即使用默认HTTP端口。这是特别有用的，因为大多数Web浏览器无法友好地处理非标准端口。要更改FreeIPA的HTTP端口，请在服务器上完成以下步骤：

# sed -i 's/WsgiServer /WsgiServer -D \${OPTIONS} --port=80 /g' /usr/lib/systemd/system/httpd.service

六、FreeIPA trust ad

要在FreeIPA环境中建立与外部AD Forest的受信任关系，需要使用两个命令：ipa-adtrust-install和ipa trust-add。这两个命令会执行一系列的任务，并创建信任关系。以下是建立与Oak Forest域的受信任关系的命令：

ipa-adtrust-install --uninstall 
ipa-adtrust-install --enable-compat 
ipa trust-add --type=ad --admin Administrator --password

七、FreeIPA ovirt身份认证

如果你使用的是oVirt作为虚拟化管理器，那么配置FreeIPA，以进行oVirt的身份认证是非常有用的事情。要使用FreeIPA进行ovirt身份认证，需要使用以下命令：

# engine-config --set AuthenticationMethod=kerberos
# kinit admin
# authconfig --enablekrb5 --update
# yum install -y ovirt-engine-ext-aaa-ldap ovirt-engine-extension-aaa-ldap-setup
# ovirt-engine-extension-aaa-ldap-setup

八、FreeIPA automount选取

要使用FreeIPA Automount，你需要执行以下步骤：

1. 首先安装可以自动挂载的NFS共享，如下所示：

# mkdir /mnt/nfs
# echo 'nfsserver:/nfs /mnt/nfs nfs rw,vers=3,auto 0 0' >> /etc/fstab
# mount -a

2. 之后安装autofs包：

# yum install -y autofs

3. 之后就可以通过ipa automountkey-add命令向默认的LDAP目录中添加挂载条目。

以上就是本文对FreeIPA的详细阐述，当然还有很多其它方面的知识等待你的挖掘。通过学习和实践，相信你会成为一名FreeIPA的专家。