溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點(diǎn)擊 登錄注冊 即表示同意《億速云用戶服務(wù)條款》

如何從零構(gòu)建ipa-server實(shí)現(xiàn)ldap+kerberos網(wǎng)絡(luò)用戶驗證

發(fā)布時間:2021-11-23 22:32:04 來源:億速云 閱讀:180 作者:柒染 欄目:網(wǎng)絡(luò)管理

本篇文章給大家分享的是有關(guān)如何從零構(gòu)建ipa-server實(shí)現(xiàn)ldap+kerberos網(wǎng)絡(luò)用戶驗證,小編覺得挺實(shí)用的,因此分享給大家學(xué)習(xí),希望大家閱讀完這篇文章后可以有所收獲,話不多說,跟著小編一起來看看吧。

1,用戶信息和認(rèn)證服務(wù)介紹

1.1隨著現(xiàn)在網(wǎng)絡(luò)的發(fā)展,在企業(yè)中主機(jī)也越來越多,主機(jī)用戶管理變成一件很艱難的任務(wù),
一種解決方式,賬號信息不存放在本地系統(tǒng)中,而是賬號信息存儲在一個中心位置,實(shí)現(xiàn)用戶的集中管理。
單點(diǎn)登錄(single sign on )簡稱SSO,是目前比較流行的企業(yè)業(yè)務(wù)整合的解決方案之一,
SSO的定義是定義在多個應(yīng)用系統(tǒng)中,用戶只需要登錄一次就可以訪問所有信任的應(yīng)用系統(tǒng)。

1.2構(gòu)建一個集中認(rèn)證管理系統(tǒng)需要提供:賬戶信息和認(rèn)證信息

1.2.1賬戶信息:包含如,用戶名,UID,GID等

    存儲賬號信息流行的解決方案:LADP,NIS,AD或IPA-server

1.2.2認(rèn)證信息:密碼,指紋等。

ldap服務(wù)
kerberos 是一種網(wǎng)絡(luò)認(rèn)證協(xié)議,僅提供SSO認(rèn)證服務(wù),通常和LDAP一起使用。

典型的實(shí)現(xiàn)方案:AD(微軟活動目錄)和IPA-server

2,從零搭建IPA-server

2.1準(zhǔn)備工作:

一臺物理主機(jī),兩臺vm虛擬機(jī),系統(tǒng)為redhat7.0以上(安裝了圖形界面的)。
物理主機(jī)的地址為:ip:192.168.0.111/24 gw:192.168.0.1 dns192.168.0.1 地址可以根據(jù)自己的情況而定
第一臺虛擬機(jī):網(wǎng)卡類型為自動橋接:ip:192.168.0.118/24 gw:192.168.0.1 dns 可以暫時不用配置。這臺虛擬機(jī)我們將要它配置成ipa-server
第二臺虛擬機(jī):網(wǎng)卡類型為自動橋接:ip:192.168.0.119/24 gw;192.168.0.1 dns:192.168.0.118

2.2  IPA-server服務(wù)安裝前條件:

1,必須要有完整的主機(jī)名  
2,一個靜態(tài)的ip地址
3,能夠?qū)χ鳈C(jī)名做解析(正向和反向解析)
4,hosts文件也要對主機(jī)名做解析。不能解析到127.1
5,開通防火墻規(guī)則和服務(wù)
6, 做時間ntp同步

2.3步驟:現(xiàn)在操作192.168.0.118這臺虛擬機(jī),下面就簡稱為:server了

1,設(shè)置主機(jī)名為server.zhuxu.co
[root@server ~]# hostnamectl set-hostname server.zhuxu.co
[root@server ~]# hostname server.zhuxu.co
2,一個靜態(tài)的ip地址上面準(zhǔn)備工作已經(jīng)設(shè)置好了
3,能夠?qū)χ鳈C(jī)名做解析(正向和反向解析)這步不用做,安裝ipa-server,會自動配置dns服務(wù)
4,vim /etc/hosts 文件,添加 192.168.0.118   server.zhuxu.co    server 這一行。
5,為了簡化步驟,直接關(guān)閉防火墻和selinux.(我會再另外發(fā)一個版本,加上防火墻的配置)
[root@server ~]# iptables -F清除iptables規(guī)則
[root@server ~]# systemctl stop iptables  停止iptables服務(wù)
[root@server ~]# systemctl disable iptables 禁止iptables 開機(jī)啟動
[root@server ~]# systemctl stop firewalld  停止firewalld 服務(wù)
[root@server ~]# systemctl disable firewalld 禁止firewalld 開機(jī)啟動
[root@server ~]# setenforce 0 臨時關(guān)閉selinux
編輯/etc/selinux/conf 文件 SELINUX=permissive

6,vim /etc/chrony.conf 注釋前三個時間服務(wù),編輯最后一個為:server ntp1.aliyun.com iburst
[root@server ~]#systemctl restart chronyd.service 重啟時間服務(wù)

7,配置好yum源,我這選擇掛載光盤來做yum倉庫。
[root@server ~]# vim /etc/yum.repos.d/server.repo
在文件中輸入以下內(nèi)容

[base]name=redhat7baseurl=file:///mntenabled=1gpgcheck=0

掛載光盤到/mnt下(請確保光盤是連接狀況)
[root@server ~]# mount /dev/cdrom /mnt

服務(wù)器端安裝條件準(zhǔn)備好了:

2.4,安裝ipa-server

ipa-server 依賴于dns服務(wù)才能工作,我們要裝的包有:ipa-server bind bind-dyndb-ldap ipa-server-dns
bind 是提供dns服務(wù),bind-dyndb-ldap是提供dns和ldap連接組件等,
ipa-server-dns提供了ipa-server與dns連接組件等(根據(jù)安裝系統(tǒng)時候選的包不同,這個包有可能裝過了)

[root@server ~]# yum install -y ipa-server bind  bind-dyndb-ldap ipa-server-dns

2.5配置ipa-server

[root@server ~]# ipa-server-install --setup-dns   ---安裝ipa-server自動配置dnsServer host name [server.zhuxu.co]:     ---回車鍵(默認(rèn))
Please confirm the domain name [zhuxu.co]:    ---回車鍵(默認(rèn))
Please provide a realm name [ZHUXU.CO]:  ---回車鍵(默認(rèn))
Directory Manager password:   ---設(shè)置目錄管理的密碼 最少是8位
IPA admin password:  ---設(shè)置ipa 管理員admin的密碼 最少8位 一定要記住,后面要用到
Do you want to configure DNS forwarders? [yes]: no ---你想配置dns為轉(zhuǎn)發(fā)器嗎? 選擇noDo you want to search for missing reverse zones? [yes]: yes --你想配置dns的反向域嗎?選擇yesContinue to configure the system with these values? [no]: yes --繼續(xù)配置系統(tǒng)其他的值? 選擇yes
[root@server ~]# systemctl enable sssd      --開機(jī)自啟動sssd服務(wù)(sssd:system security service deamon 系統(tǒng)安全服務(wù))[root@server ~]# systemctl start sssd  --開啟sssd服務(wù)(可能默認(rèn)已經(jīng)開啟了)[root@server ~]# authconfig  --enablemkhomedir --update  創(chuàng)建的用戶,默認(rèn)創(chuàng)建用戶家目錄,更新認(rèn)證信息

2.6驗證ipa-server和dns.

2.6.1驗證ipa-server
[root@server ~]# kinit admin   ---必須要登陸admin 才能管理域Password for admin@ZHUXU.CO: 
[root@server ~]# ipa user-find --all  查看所有域用戶的信息1 user matched
  dn: uid=admin,cn=users,cn=accounts,dc=zhuxu,dc=co
  User login: admin
  ....
Number of entries returned 1

2.6.2驗證nds,正反向解析

[root@server ~]# dig -t a server.zhuxu.co 查看server.zhuxu.co 的A 記錄[root@server ~]# dig -t ptr  118.0.168.192.in-addr.apra 查看server.zhuxu.co 的PTR記錄

2.7服務(wù)器配置結(jié)束。重啟系統(tǒng)

[root@server ~]# reboot

3,通過圖像界面添加用戶和主機(jī)(通過命令也會介紹請看下一章nfs使用域用戶)

可以通過server.zhuxu.co 終端中的火狐輸入https://server.zhuxu.co/ipa/ui 來管理。
如何從零構(gòu)建ipa-server實(shí)現(xiàn)ldap+kerberos網(wǎng)絡(luò)用戶驗證

如何從零構(gòu)建ipa-server實(shí)現(xiàn)ldap+kerberos網(wǎng)絡(luò)用戶驗證

如何從零構(gòu)建ipa-server實(shí)現(xiàn)ldap+kerberos網(wǎng)絡(luò)用戶驗證

如何從零構(gòu)建ipa-server實(shí)現(xiàn)ldap+kerberos網(wǎng)絡(luò)用戶驗證

如何從零構(gòu)建ipa-server實(shí)現(xiàn)ldap+kerberos網(wǎng)絡(luò)用戶驗證

如何從零構(gòu)建ipa-server實(shí)現(xiàn)ldap+kerberos網(wǎng)絡(luò)用戶驗證
如何從零構(gòu)建ipa-server實(shí)現(xiàn)ldap+kerberos網(wǎng)絡(luò)用戶驗證

客戶端配置

1準(zhǔn)備工作

1,配置主機(jī)名

[root@client ~]# hostnamectl set-hostname client.zhuxu.co[root@client ~]# hostname client.zhuxu.co

2,設(shè)置一個靜態(tài)ip地址 dns一定要指向server.zhuxu.co 的ip
3,關(guān)閉防火墻同server端一樣
4,修改hosts文件,添加192.168.0.119 client.zhuxu.co  client
5,做時間同步
vim /etc/chrony.conf 注釋前三個時間服務(wù),編輯最后一個為:server ntp1.aliyun.com iburst
[root@server ~]#systemctl restart chronyd.service 重啟時間服務(wù)
6,配置好yum源,我這選擇掛載光盤來做yum倉庫。
[root@server ~]# vim /etc/yum.repos.d/server.repo
在文件中輸入以下內(nèi)容

[base]name=redhat7baseurl=file:///mntenabled=1gpgcheck=0

掛載光盤到/mnt下(請確保光盤是連接狀況)

[root@server ~]# mount /dev/cdrom /mnt

2配置客戶端

2.1yum install -y authconfig  authconfig-gtk ipa-client

2.2用圖形化配置kerberos認(rèn)證信息

[root@client ~]#authconfig-gtk
如何從零構(gòu)建ipa-server實(shí)現(xiàn)ldap+kerberos網(wǎng)絡(luò)用戶驗證

如何從零構(gòu)建ipa-server實(shí)現(xiàn)ldap+kerberos網(wǎng)絡(luò)用戶驗證

2.3配置ipa-client

[root@client ~]# ipa-client-install   --domain=zhuxu.co --no-ntp`--realm=ZHUXU.CO --mkhomedir  
加入域,不啟用ntp,創(chuàng)建用戶時自動創(chuàng)建家目錄
Continue to configure the system with these values? [no]: yes ---繼續(xù)配置系統(tǒng)其他的值? 選擇yes
User authorized to enroll computers: admin  ---域管理員
Password for admin@ZHUXU.CO:   ---密碼

3驗證用戶是否能登錄

[root@client ~]# ssh tom@client.zhuxu.co    ---在客戶端實(shí)驗登錄
Password:                                 ---輸入密碼
Password expired. Change your password now.  --提醒你密碼過期
Current Password:        --輸入現(xiàn)用密碼
New password:            ---新密碼
Retype new password:
Creating home directory for tom.
[tom@client ~]$ whoami   --登陸成功
tom
[tom@client ~]$ pwd    --在家目錄下,說明家目錄也是創(chuàng)建成功了。
/home/tom

所有配置結(jié)束,在網(wǎng)上搜索不到ipa-server 配置方法。這可能是在百度中找到的最全的配置方法了,還是從零構(gòu)建的。

以上就是如何從零構(gòu)建ipa-server實(shí)現(xiàn)ldap+kerberos網(wǎng)絡(luò)用戶驗證,小編相信有部分知識點(diǎn)可能是我們?nèi)粘9ぷ鲿姷交蛴玫降?。希望你能通過這篇文章學(xué)到更多知識。更多詳情敬請關(guān)注億速云行業(yè)資訊頻道。

向AI問一下細(xì)節(jié)

免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場,如果涉及侵權(quán)請聯(lián)系站長郵箱:is@yisu.com進(jìn)行舉報,并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。

AI