Un didacticiel pour apprendre les étapes et les commandes d'installation de FreeIPA sur les distributions CentOS 8, AlmaLinux ou Rocky Linux 8 Server afin d'obtenir un système centralisé d'authentification, d'autorisation et d'informations sur les comptes.
FreeIPA signifie Free Identity, Policy, Audit et il s'agit d'une solution open source de gestion des identités basée sur un annuaire LDAP et Kerberos avec des composants optionnels tels qu'un serveur DNS, une autorité de certification, etc. Il peut gérer un domaine avec des utilisateurs, des ordinateurs, des politiques et des relations d'approbation. Cela ne ressemble-t-il pas à Microsoft Active Directory ? Oui, c'est exactement de cela qu'il s'agit. FreeIPA peut également établir une approbation de forêt à forêt avec des forêts Active Directory existantes et même vivre dans une zone DNS sous une zone gérée par Active Directory, tant qu'elles ne se chevauchent pas. Il se compose d'une interface Web et d'outils d'administration en ligne de commande.
Exigences :
- le nom d'hôte doit être entièrement qualifié et peut être résolu. Ici, nous utilisons un sous-domaine, c'est-à-dire demo.how2shout.com
- Au moins 1 Go de RAM et 10 Go d'espace disque libre
Étapes pour installer FreeIPA sur AlmaLinux ou Rocky Linux 8
Les commandes ci-dessous peuvent également être utilisées sur CentOS 8, Oracle Linux, VzLinux et d'autres systèmes d'exploitation basés sur RPM.
1. Définir le nom d'hôte dans AlmaLinux ou Rocky
Comme nous avons besoin d'un nom de domaine complet pour accéder et utiliser correctement FreeIPA, nous devons définir le nom d'hôte FQDN que nous voulons utiliser. Par exemple, nous utilisons ici demo.how2shout.com qui peut être résolu à l'aide de notre serveur DNS. Cependant, si vous n'avez pas de serveur DNS, nous devons ajouter manuellement des entrées dans le fichier hôte du serveur Almalinux pour résoudre l'adresse IP du système pour notre nom d'hôte pleinement qualifié.
sudo hostnamectl set-hostname demo.example.com
Remplacez demo.example.com par celui que vous souhaitez définir pour le nom d'hôte de votre serveur.
Le domaine utilisé pour le nom d'hôte doit résoudre l'adresse IP pour atteindre le serveur. Ensuite, faites pointer l'adresse IP de votre serveur vers le nom d'hôte, c'est-à-dire le nom de domaine complet, dans le fichier Host.
echo "192.168.0.110 demo.example.com demo" | sudo tee -a /etc/hosts
Remplacer – 192.168.0.110 avec l'adresse IP de votre serveur et demo.example.com avec votre nom d'hôte FQDN.
Remarque :Si vous souhaitez tester FreeIPA localement , il est recommandé d'utiliser des TLD réservés tels que .local. .test ou même .home peuvent être utilisés - exemple :demo.IPA.local
Une fois cela fait, confirmez que le système peut envoyer un ping à l'hôte pour résoudre le même problème.
ping -c 2 demo.example.com
Maintenant, redémarrez :
sudo reboot
2. Exécutez la mise à jour du système
Avant d'aller plus loin, exécutons la commande de mise à jour du système une fois pour nous assurer que tous les packages système sont à jour, et cela reconstruira également le cache du dépôt du système.
sudo dnf update
3. Activer le module système Red Hat Enterprise Linux Identity Management
Les packages serveur et client FreeIPA sont disponibles via le référentiel de flux d'applications par défaut, cependant, pour les obtenir, nous devons d'abord activer le module système IDM - Identity Management sur notre AlmaLinux ou Rocky Linux que nous utilisons.
sudo dnf install @idm:DL1
4. Installez FreeIPA sur AlmaLinux ou Rocky Linux 8
Une fois le module IDM activé sur votre système serveur, il est temps d'installer tous les packages requis pour FreeIPA sur notre système.
sudo dnf install ipa-server
Si vous souhaitez également installer le serveur DNS FreeIPA, exécutez également la commande suivante :
sudo dnf install ipa-server-dns bind-dyndb-ldap
5. Configurer le serveur FreeIPA
Jusqu'à présent, nous avons téléchargé et installé tous les éléments clés dont nous avions besoin pour configurer le serveur FreeIPA sur AlmaLinux ou Rocky, alors commençons par cela.
sudo ipa-server-install
La commande ci-dessus lancera l'assistant textuel. Il vous posera quelques questions courantes. Les premiers seront l'intégration de BIND DNS, par défaut, il sera réglé sur 'NON ‘. Ainsi, appuyez simplement sur Entrée continuer sans elle. Cependant, si vous souhaitez définir un DNS BIND sur votre Alma ou Rocky pour résoudre les noms de domaine, tapez-oui et appuyez sur la touche Entrée.
Après cela, le script détectera automatiquement le nom d'hôte du serveur et le domaine que vous avez défini pour le nom d'hôte
Ainsi, appuyez simplement sur Entrée touche pour les deux options.
Après avoir configuré les entrées ci-dessus, le programme d'installation vous demandera de configurer un gestionnaire de répertoires mot de passe et IPA mot de passe administrateur pour l'interface Web. Ensuite, il vous demandera de configurer le serveur NTP avec chronique accepter la valeur par défaut (non ) ou tapez oui selon votre choix.
Rappelez-vous quand il vous demande de continuer à configurer le système ces valeurs , tapez - oui et appuyez sur Entrée clé.
6. Configurer le pare-feu Linuxd
Si vous utilisez votre serveur sur un service cloud, utilisez son pare-feu pour mettre en liste blanche les ports suivants :
Vous devez vous assurer que ces ports réseau sont ouverts :
Port TCP :
80 443 :HTTP/HTTPS
389 636 :LDAP/LDAPS
88 464 :Kerberos
Ports UDP :
88, 464 :Kerberos
123 :NTP
Alors que, si vous utilisez Firewalld dans votre système de serveur, exécutez simplement les deux commandes suivantes :
sudo firewall-cmd --add-service={http,https,dns,ntp,freeipa-ldap,freeipa-ldaps} --permanent sudo firewall-cmd --reload
7. Accéder à l'interface Web de l'interface graphique FreeIPA
Une fois l'installation terminée par le script, ouvrez votre navigateur système et pointez-le vers le nom d'hôte FQDN que vous avez défini pour le système au début, par exemple https://demo.example.com
ou même si vous tapez https://your-server-ip
cela le redirigera automatiquement vers le FQDN.
8. Connexion
Le nom d'utilisateur par défaut pour se connecter à FreeIPA est admin alors que le mot de passe est le même que celui que vous avez défini lors de l'installation du serveur FreeIPA aux étapes 5 de cet article.
Ligne de commande FreeIPA
Ceux qui ne souhaitent pas utiliser l'interface graphique Web FreeIPA peuvent opter pour la ligne de commande pour effectuer diverses opérations telles que la création d'utilisateurs, le test de connexion SSH pour les utilisateurs, etc.
Pour commencer à utiliser CLI, tapez-
sudo kinit admin
Première Entrée le mot de passe de l'utilisateur système, puis celui que vous avez défini pour FreeIPA lors de son installation.
Une fois connecté, vous pouvez commencer à utiliser ipa
commandes. Pour obtenir tous les détails sur ses options de commande, consultez la page de manuel :
man ipa
par exemple, pour créer un utilisateur-
sudo ipa user-add testuser --first=Test --last=User --email=testuser@example.com --password
Une fois l'utilisateur ajouté, vous pouvez l'authentifier avec :
Vous pouvez maintenant vous authentifier en tant que nouvel utilisateur avec
kinit <user>
Pour répertorier les comptes d'utilisateurs
sudo ipa user-find
Pour se connecter avec l'utilisateur créé :
ssh [email protected]
Pour plus d'informations, consultez la documentation officielle .
Désinstallation de FreeIPA depuis AlmaLinux ou rocky
Si vous rencontrez un problème avec le système de gestion des identités open source ou si vous n'en avez plus besoin, utilisez la commande ci-dessous pour supprimer FreeIPA de CentOS, AlmaLinux, Rocky ou de tout autre système Linux similaire que vous utilisez.
sudo ipa-server-install --uninstall
Autres articles :
- Installer Dig sur AlmaLinux 8/Rocky Linux
- Comment changer le nom de l'ordinateur dans Ubuntu 20.04 Linux
- Comment installer Pi-hole sur Docker – Blocage des publicités sur l'ensemble du réseau