您的位置:

FreeIPA完全指南

在当今互联网时代,自动化身份管理是一项至关重要的任务。FreeIPA是一个完全的身份管理解决方案,可以尤其地优秀地工作在Linux平台上。FreeIPA是一个开源的,集成了许多开源身份技术的解决方案。当你从本指南中学习FreeIPA时,你将获得以下内容:
  • 如何以APP方式部署FreeIPA
  • 如何使用keepalived保证FreeIPA的高可用性
  • 如何在FreeIPA中挂载网盘
  • 如何在FreeIPA创建管理员
  • 如何在FreeIPA中管理web端口
  • 如何使用FreeIPA建立与外部AD Forest的受信任关系
  • 如何通过FreeIPA进行ovirt身份认证
  • 如何在FreeIPA自动挂载文件系统

一、FreeIPAPP

FreeIPA是一个大而全的解决方案,其包含了许多应用程序。为了使管理员能够更加容易地部署,FreeIPA提供了FreeIPA APP,这是一种可以自动安装和配置所有应用程序的方式。下面是使用FreeIPA APP以及systemctl在CentOS7中部署FreeIPA的命令:

# yum install -y ipa-server ipa-server-trust-ad ipa-server-dns ipa-server-trust-ad
# domain="example.com"
# master="ipa1.$domain"
# pass="password"
# ipa-server-install -r $domain -n $(hostname) -a $pass --hostname $master -U --setup-dns --forwarder=8.8.8.8 -p $pass --setup-ca --no-ntp

二、FreeIPA keepalived

使用keepalived可以保证FreeIPA的高可用性。当你使用FreeIPA keepalived时,你需要创建虚拟IP地址(VIP),并将其分配给FreeIPA。虚拟IP地址可以随时间变化。如果一台服务器出现问题,则move_service选项将尝试重新启动另一台服务器上的服务。以下是CentOS 7上keepalived安装的命令,并且check.sh用于检查keepalived执行操作的功能是否正确:

# yum install -y keepalived
# cat > /etc/keepalived/check.sh <> \${log_file}
EOF
# chmod +x /etc/keepalived/check.sh

  

三、FreeIPA挂载网盘

FreeIPA支持挂载网络共享,可以让你直接从FreeIPA登录到网络共享。以下是指定FreeIPA挂载NFS网络共享的命令:

ipa netgroup-add-member allhosts --nisdomain=example.com
ipa automountkey-add freeipanfs default --key="(rw,hard,bg,intr,noatime)" --info="Mount directory" --location=file:///mnt/nfs
ipa automountlocation-add freeipanfs auto.home --add-mount="-fstype=nfs4 server:/export/home/&" --info="Load users home directories" --options="nosuid,nodev,soft,nobootwait"
ipa automountmap-add freeipa --key="-fstype=nfs4 server:/export/home/&" --info="auto.home" --mount="/home/&"
ipa automountkey-add freeipanfs users --key="(rw,hard,bg,intr,noatime)" --info="Mount directory" --location=file:///mnt/nfs
ipa automountmap-add freeipa --key="/- /home/&" --info="users" --mount="/mnt/nfs/users"

四、FreeIPA创建管理员

创建IPA管理员的最初步骤就是创建了所有对象和秘密数据。通过以下命令可以创建管理员(需要在root账户下进行):

kinit admin
ipa config-mod --enable-migration=1
ipa user-add admin --shell="/bin/bash" --first="Red" --last="Hat" --password

五、FreeIPA web 端口

默认情况下,FreeIPA的Web界面服务运行在389端口。但有时需要将HTTP端口更改为80,即使用默认HTTP端口。这是特别有用的,因为大多数Web浏览器无法友好地处理非标准端口。要更改FreeIPA的HTTP端口,请在服务器上完成以下步骤:

# sed -i 's/WsgiServer /WsgiServer -D \${OPTIONS} --port=80 /g' /usr/lib/systemd/system/httpd.service

六、FreeIPA trust ad

要在FreeIPA环境中建立与外部AD Forest的受信任关系,需要使用两个命令:ipa-adtrust-install和ipa trust-add。这两个命令会执行一系列的任务,并创建信任关系。以下是建立与Oak Forest域的受信任关系的命令:

ipa-adtrust-install --uninstall 
ipa-adtrust-install --enable-compat 
ipa trust-add --type=ad --admin Administrator --password

七、FreeIPA ovirt身份认证

如果你使用的是oVirt作为虚拟化管理器,那么配置FreeIPA,以进行oVirt的身份认证是非常有用的事情。要使用FreeIPA进行ovirt身份认证,需要使用以下命令:

# engine-config --set AuthenticationMethod=kerberos
# kinit admin
# authconfig --enablekrb5 --update
# yum install -y ovirt-engine-ext-aaa-ldap ovirt-engine-extension-aaa-ldap-setup
# ovirt-engine-extension-aaa-ldap-setup

八、FreeIPA automount选取

要使用FreeIPA Automount,你需要执行以下步骤:

  1. 首先安装可以自动挂载的NFS共享,如下所示:
# mkdir /mnt/nfs
# echo 'nfsserver:/nfs /mnt/nfs nfs rw,vers=3,auto 0 0' >> /etc/fstab
# mount -a
  1. 之后安装autofs包:
# yum install -y autofs
  1. 之后就可以通过ipa automountkey-add命令向默认的LDAP目录中添加挂载条目。

以上就是本文对FreeIPA的详细阐述,当然还有很多其它方面的知识等待你的挖掘。通过学习和实践,相信你会成为一名FreeIPA的专家。