FreeIPA est un système de gestion d'identité open source pour les environnements Linux/Unix qui fournit une gestion et une authentification centralisées des comptes, comme Microsoft Active Directory ou LDAP.
Ici, chez LinuxAPT, dans le cadre de nos services de gestion de serveur, nous aidons régulièrement nos clients à effectuer des requêtes d'installation et de configuration de logiciels Open Source sur le système Linux.
Dans ce contexte, nous verrons comment installer FreeIPA sur CentOS 8.
Étapes pour installer FreeIPA sur CentOS 8
1. Installez EPEL et effectuez la mise à jour du système
Pour commencer, assurez-vous d'installer le référentiel EPEL et de maintenir votre système à jour avec les commandes ci-dessous :
$ sudo dnf install epel-release
$ sudo dnf update
2. Installez FreeIPA sur le système
Disons que notre adresse IP est 192.168.77.5 et Hostanme est freeipa.linuxapt.com, nous configurons le nom d'hôte, vous pouvez le configurer avec la commande suivante :
$ hostnamectl set-hostname freeipa.linuxapt.com
echo "192.168.77.5 freeipa.linuxapt.local ipa" >> /etc/hosts
Les packages FreeIPA sont fournis par le module système de gestion des identités des référentiels CentOS 8 AppStream.
Par conséquent, vous devez activer le flux idm:DL1 en exécutant la commande :
$ sudo dnf module enable idm:DL1
Ensuite, synchronisez le référentiel avec la commande suivante :
$ sudo dnf distro-sync
Enfin, installez FreeIPA sur le système CentOS 8 à l'aide de la commande suivante :
$ sudo dnf install ipa-server ipa-server-dns
Comment configurer FreeIPA ?
1. Configurer le serveur FreeIPA
Vous devrez configurer le serveur FreeIPA. nous pouvons le configurer avec la commande suivante :
$ ipa-server-install --setup-dns
Voici à quoi ressemblera cette configuration en exécutant la commande précédente :
[[email protected] ~]# ipa-server-install --setup-dns
The log file for this installation can be found in /var/log/ipaserver-install.log
==============================================================================
This program will set up the IPA Server.
This includes:
* Configure a stand-alone CA (dogtag) for certificate management
* Configure the Network Time Daemon (ntpd)
* Create and configure an instance of Directory Server
* Create and configure a Kerberos Key Distribution Center (KDC)
* Configure Apache (httpd)
* Configure DNS (bind)
To accept the default shown in brackets, press the Enter key.
Enter the fully qualified domain name of the computer
on which you're setting up server software. Using the form
<hostname>.<domainname>
Example: master.example.com.
Server host name [freeipa.linuxapt.com]: [ENTER]
Warning: skipping DNS resolution of host freeipa.linuxapt.local
The domain name has been determined based on the host name.
Please confirm the domain name [linuxapt.com]:[ENTER]
The kerberos protocol requires a Realm name to be defined.
This is typically the domain name converted to uppercase.
Please provide a realm name [LINUXAPT.COM]: [ENTER]
Certain directory server operations require an administrative user.
This user is referred to as the Directory Manager and has full access
to the Directory for system management tasks and will be added to the
instance of directory server created for IPA.
The password must be at least 8 characters long.
Directory Manager password: [ENTER PASSWORD]
Password (confirm): [ENTER PASSWORD]
. . . . .
Après l'installation de FreeIPA, authentifiez-vous auprès du domaine Kerberos pour vous assurer que l'administrateur est correctement configuré :
$ kinit admin
Vous pouvez également lister les tickets Kerberos en utilisant la commande klist :
$ klist
2. Configurer le pare-feu pour FreeIPA
Vous devrez autoriser certains ports utilisés par FreeIPA. Vous pouvez les autoriser avec la commande suivante :
$ sudo firewall-cmd --add-service={http,https,dns,ntp,freeipa-ldap,freeipa-ldaps} --permanent $ sudo firewall-cmd --reload
Ensuite, vous devrez également désactiver SELinux sur votre système :
$ sudo setenforce 0
$ sudo sed -i 's/^SELINUX=.*/SELINUX=permissive/g' /etc/selinux/config
Comment accéder à l'interface Web de FreeIPA ?
FreeIPA sera disponible sur le port HTTP 80 par défaut.
Commencez par utiliser la commande ci-dessous pour vérifier si tous les services de FreeIPA fonctionnent ou non :
[root@ipa ~]# ipactl status
Ensuite, ouvrez votre navigateur préféré et accédez à https://freeipa.linuxapt.com/ et suivez les étapes requises pour terminer l'installation.
Ignorez l'avertissement SSL privé et accédez à la page de connexion du serveur FreeIPA.
Utilisez le nom d'utilisateur, l'administrateur et le mot de passe administrateur fournis lors de la configuration de l'installation.