Einführung
FreeIPA ist eine Open-Source-Sicherheitslösung für Linux, die ähnlich wie Active Directory von Microsoft Kontoverwaltung und zentralisierte Authentifizierung bietet. FreeIPA basiert auf mehreren Open Source-Projekten, darunter 389 Directory Server, MIT Kerberos und SSSD.
FreeIPA hat Clients für CentOS 7, Fedora und Ubuntu 14.04 / 16.04. Diese Clients vereinfachen das Hinzufügen von Computern zu Ihrer IPA-Domäne. Andere Betriebssysteme können sich mit SSSD oder LDAP gegen FreeIPA authentifizieren.
In diesem Lernprogramm konfigurieren wir einen Ubuntu 16.04-Computer für die Authentifizierung bei einem vorhandenen FreeIPA-Server. Sobald Ihr Client konfiguriert ist, können Sie verwalten, welche Benutzer und Benutzergruppen sich am Computer anmelden dürfen. Außerdem können Sie festlegen, welche Benutzer "+ sudo +" verwenden dürfen.
Voraussetzungen
Um diesem Tutorial zu folgen, benötigen Sie:
-
Ein CentOS 7-Server mit installierter FreeIPA-Serversoftware, den Sie unter https://www.digitalocean.com/community/tutorials/how-to-set-up-centralized-linux-authentication-with-freeipa- einrichten können. on-centos-7 [dieses FreeIPA-Tutorial zu CentOS 7].
-
Ein Ubuntu 16.04-Server, der gemäß https://www.digitalocean.com/community/tutorials/initial-server-setup-with-ubuntu-16-04 eingerichtet wurde, einschließlich einer Firewall. Da wir jedoch FreeIPA zum Verwalten von Benutzern verwenden, muss kein sudo-Benutzer ohne Rootberechtigung manuell hinzugefügt werden. Sie können diesem Tutorial einfach als * root * folgen.
-
Die folgenden DNS-Einträge wurden für Ihren Ubuntu-Server eingerichtet. Weitere Informationen zum Hinzufügen von Hostnamen finden Sie unter this hostname tutorial.
-
Ein A-Datensatz mit Ihrem Servernamen (z.
++) zeigt auf die IPv4-Adresse Ihres Client-Servers. -
Ein AAAA-Eintrag mit Ihrem Servernamen, der auf die IPv6-Adresse Ihres Client-Servers verweist, wenn Sie möchten, dass Ihr Server über IPv6 erreichbar ist.
In diesem Tutorial verwenden wir "+ ipa-client.example.com " als Beispieldomäne für Ihren Ubuntu IPA-Client und " ipa.example.com +" für Ihren CentOS IPA-Server (entsprechend dem vorausgesetzten Tutorial). .
Schritt 1 - Vorbereiten des IPA-Clients
Bevor wir mit der Installation beginnen, müssen wir einige Dinge tun, um sicherzustellen, dass Ihr Ubuntu-Server für die Ausführung des FreeIPA-Clients bereit ist. Insbesondere werden wir den Server-Hostnamen festlegen, die Systempakete aktualisieren und überprüfen, ob die DNS-Einträge aus den Voraussetzungen weitergegeben wurden.
Zunächst muss der Hostname Ihres Ubuntu-Servers mit Ihrem vollqualifizierten Domänennamen (FQDN) übereinstimmen, damit der FreeIPA-Client ordnungsgemäß funktioniert. In diesem Tutorial wird "++" als FQDN verwendet.
Wenn dies ein neuer Server ist, können Sie den Hostnamen beim Erstellen des Servers festlegen.
Wenn Sie bereits einen Server haben, können Sie stattdessen den Befehl + hostname + verwenden, wie unten dargestellt. Beachten Sie, dass Sie * root * sein müssen, um den Hostnamen eines vorhandenen Systems zu ändern, da der Hostname ein Systemparameter ist und nicht von regulären Benutzern geändert werden kann.
hostnameWenn Sie den Hostnamen Ihres Servers mit dem Befehl "+ Hostname " ändern, empfiehlt es sich, ihn auch manuell in der Datei " / etc / Hostname +" zu ändern.
nano /etc/hostnameDie Datei sollte nur eine Zeile mit dem ursprünglichen Hostnamen Ihres Servers enthalten:
/ etc / hosts
Ändern Sie es in den vollständigen FQDN Ihres Clients.
/ etc / hosts
Speichern und schließen Sie dann die Datei.
Sobald der Hostname Ihres Servers korrekt eingestellt ist, aktualisieren Sie die Paket-Repositorys.
apt-get updateSchließlich müssen wir überprüfen, ob die DNS-Namen ordnungsgemäß aufgelöst werden. Wir können dafür den Befehl + dig + verwenden. Dig ist standardmäßig auf Ubuntu installiert.
Verwenden Sie zuerst + dig +, um den A-Datensatz zu überprüfen.
dig +short ADies sollte "++" zurückgeben.
Wenn Sie IPv6 aktiviert haben, können Sie die AAAA-Aufzeichnung auf die gleiche Weise testen.
dig +short AAAADies sollte "++" zurückgeben.
Wir können auch die umgekehrte Suche testen. Dies testet, ob wir den Hostnamen von der IP-Adresse auflösen können.
dig +short -x
dig +short -xDiese sollten beide "+. +" Zurückgeben
Nachdem der Server vorbereitet ist, können wir das FreeIPA-Client-Paket installieren und konfigurieren.
Schritt 2 - Installieren des FreeIPA-Clients
In Ubuntu 16.04 ist der FreeIPA-Client in den Standard-Repositorys enthalten.
apt-get install freeipa-clientWährend der Ausführung des Installationsprogramms werden Sie möglicherweise auf einem Bildschirm mit dem Titel * Konfigurieren der Kerberos-Authentifizierung * zur Eingabe des Kerberos-Realms und der Kerberos-Server aufgefordert. Das FreeIPA-Installationsprogramm überschreibt diese Einstellungen, es ist jedoch am besten, sie auch hier richtig einzugeben.
Der Kerberos-Realm wurde bei der Installation des Servers konfiguriert. Im Allgemeinen ist es "+ ipa. ". Der Kerberos-Server und der Verwaltungsserver sollten die Adresse Ihres IPA-Servers sein. Wenn Sie das Lernprogramm für die vorausgesetzten Server befolgt haben, ist dies auch " ipa. ". Nach diesen Aufforderungen wird das Paket " ipa-client +" installiert.
Führen Sie als Nächstes den FreeIPA-Installationsbefehl aus. Dadurch wird ein Skript ausgeführt, das Sie durch die Konfiguration von FreeIPA zur Authentifizierung bei Ihrem CentOS FreeIPA-Server führt.
ipa-client-install --mkhomedirDas Flag "+ - mkhomedir +" weist FreeIPA an, Ausgangsverzeichnisse für IPA-Benutzer zu erstellen, wenn diese sich zum ersten Mal auf dem Computer anmelden. Wenn Sie dieses Verhalten nicht möchten, können Sie dieses Flag auslassen.
Das Installationsprogramm fordert Sie zuerst zur Eingabe der IPA-Domäne auf. Es wird festgelegt, wenn Sie den Server konfigurieren.
Eingabeaufforderung für Installationsskript
Provide the domain name of your IPA server (ex: example.com):Als Nächstes müssen Sie den Domainnamen des IPA-Servers eingeben. Dies sollte mit der URL übereinstimmen, die Sie für den Zugriff auf die IPA-Webbenutzeroberfläche verwenden. Wenn Sie das Server-Lernprogramm in den Voraussetzungen befolgt haben, entspricht es der IPA-Domäne.
Eingabeaufforderung für Installationsskript
Provide your IPA server name (ex: ipa.example.com):Bei einem einzelnen Server funktioniert das Failover nicht. FreeIPA warnt Sie davor und Sie sollten * yes * eingeben, um fortzufahren.
Eingabeaufforderung für Installationsskript
Autodiscovery of servers for failover cannot work with this configuration.
If you proceed with the installation, services will be configured to always access the discovered server for all operations and will not fail over to other servers in case of failure.
Proceed with fixed values and no DNS discovery? [no]:Vergewissern Sie sich, dass alle Optionen korrekt sind, und fahren Sie fort.
Eingabeaufforderung für Installationsskript
Continue to configure the system with these values? [no]:Geben Sie als Nächstes einen Administrator-Benutzernamen ein. Hier verwenden wir nur den Standard-IPA-Administrator, der bei der Installation des Servers erstellt wurde.
Eingabeaufforderung für Installationsskript
User authorized to enroll computers: adminGeben Sie abschließend das Passwort für Ihren IPA-Administrator ein. Dies wurde während der FreeIPA-Serverkonfiguration festgelegt.
Nachdem Sie das Kennwort eingegeben haben, konfiguriert der FreeIPA-Client das System. Die letzte Ausgabezeile ist "+ Client-Konfiguration abgeschlossen. +" Dies zeigt eine erfolgreiche Installation an.
Jetzt müssen wir überprüfen, ob unser System auf der IPA-Weboberfläche angezeigt wird.
Schritt 3 - Authentifizierung überprüfen
Navigieren Sie zu Ihrer IPA-Web-Benutzeroberfläche, die "+ https: // +" lautet. Melden Sie sich mit dem zuvor verwendeten IPA-Administratorkonto bei der Webbenutzeroberfläche an. Sie sehen den folgenden Bildschirm:
Bild: https://assets.digitalocean.com/articles/freeipa-client/aqxSqYs.jpg [ipa login]
Navigieren Sie zur Registerkarte * Hosts *. Sie sollten Ihren IPA-Server sowie den soeben konfigurierten Client sehen. Klicken Sie auf den Eintrag für Ihren IPA-Client. Damit gelangen Sie zu einer Übersicht des Hosts.
In diesem Bildschirm können Sie Informationen zum Clientcomputer eingeben sowie Gruppen und Rollen für den Computer verwalten.
Bild: https://assets.digitalocean.com/articles/freeipa-client/WMAcK07.jpg [Kundenansicht]
Sie können sich auch mit einem IPA-Benutzer von Ihrem lokalen Terminal aus am Computer anmelden.
ssh admin@Sie melden sich als IPA-Benutzer bei Ihrem Computer an. Sie können diese Verbindung beenden, sobald sie erfolgreich ist.
IPA-Benutzer haben einfachen Zugriff, sudo ist jedoch deaktiviert. Im nächsten Schritt aktivieren wir sudo.
Schritt 4 - Aktivieren und Überprüfen der sudo-Regeln (optional)
Es ist nicht erforderlich, die Client-Konfigurationsdateien zu ändern, um den sudo-Zugriff zu ermöglichen. Wenn Sie möchten, müssen Sie jedoch Sudo-Regeln in der IPA-Webbenutzeroberfläche konfigurieren, um den Zugriff zu ermöglichen.
Mit FreeIPA können Sie festlegen, welche Benutzer und Benutzergruppen sudo-Befehle auf welchen Computern ausführen dürfen. Es ist auch möglich, die Befehle, die ein Benutzer mit sudo ausführen darf, und die Benutzer, deren Identität er annehmen darf, einzuschränken.
In diesem Lernprogramm wird das Hinzufügen einer einfachen Regel behandelt, die der Administratorgruppe den vollständigen Sudo-Zugriff auf alle Computer ermöglicht. Beachten Sie, dass die Administratorgruppe zusammen mit den anderen unten angezeigten Gruppen standardmäßig in FreeIPA vorhanden ist.
-
Klicken Sie in der IPA-Web-Benutzeroberfläche auf * Dienste * und dann auf * sudo *. Ein Dropdown-Menü sollte angezeigt werden.
-
Klicken Sie im Dropdown-Menü auf * sudo rules , dann auf * add * und geben Sie einen Namen für die Regel in das Feld * Rule name * ein. In diesem Fall verwenden wir " admin *", weil wir "sudo" für die Administratorgruppe zulassen.
-
Klicken Sie anschließend auf * Hinzufügen und bearbeiten *. Dadurch werden alle Optionen für die Regel angezeigt.
-
Klicken Sie unter * Wer * und * Benutzergruppen * auf * + Hinzufügen *. Wählen Sie die Administratorgruppe aus und klicken Sie auf den Pfeil, um sie von "Verfügbar" zu "Interessent" zu verschieben. Klicken Sie dann auf * Hinzufügen *.
-
Wählen Sie unter "Auf diesen Host zugreifen" die Option "Beliebiger Host" aus. Wählen Sie unter "Befehle ausführen" die Option "Beliebiger Befehl" aus. Wählen Sie unter * Als Wen * * Jeder * und * Jede Gruppe * aus. Hier können Sie einschränken, auf welchen Computern sudo aktiviert ist, welche Befehle mit sudo ausgeführt werden können und welche Benutzer die Identität annehmen können.
-
Scrollen Sie schließlich zum oberen Rand der Seite und klicken Sie auf * Speichern *.
Ihre Regel sollte jetzt aktiv sein. Die Weitergabe kann jedoch einige Zeit in Anspruch nehmen, und Sie müssen möglicherweise den Dienst "+ sshd" neu starten, damit die Sudo-Regeln wirksam werden. Dazu können Sie auf dem IPA-Client + systemctl restart sshd.service ausführen.
Vergewissern Sie sich anschließend, dass wir auf dem Client-Computer sudo-Zugriff haben. Versuchen Sie auf Ihrem lokalen Computer, sich mit dem IPA-Administrator beim Client anzumelden. Dieser Benutzer ist standardmäßig in der Gruppe der Administratoren.
ssh admin@Versuchen Sie nach dem Anmelden, eine interaktive Sudo-Eingabeaufforderung zu starten.
sudo -iDie Eingabeaufforderung sollte jetzt auf "+ root @ ipa-client " geändert werden. Sie können einfach " exit +" eingeben, um zur normalen Eingabeaufforderung zurückzukehren.
Wenn Ihnen der Zugriff auf sudo verweigert wird, möchten Sie möglicherweise den Computer neu starten und sicherstellen, dass Ihre sudo-Regel ordnungsgemäß konfiguriert ist.
Fazit
Wenn Ihr Computer für die Authentifizierung gegen FreeIPA konfiguriert ist, können Sie den Benutzer- und Gruppenzugriff auf Ihr System über die IPA-Webbenutzeroberfläche oder die Befehlszeilenschnittstelle konfigurieren. FreeIPA bietet erweiterte Funktionen. Für einfachere Konfigurationen können Sie jedoch Benutzer und Hosts hinzufügen, um ein einfaches zentrales Authentifizierungssystem bereitzustellen.
FreeIPA ist ein äußerst vielseitiges Authentifizierungstool. Was Sie als Nächstes tun müssen, hängt weitgehend davon ab, wie Sie es verwenden möchten. Weitere Informationen finden Sie auf der FreeIPA-Website unter list of documentation resources.