開源身份認證工具 FreeIPA 安裝配置大全

安裝 IPA 的 Replica Server

FreeIPA 是身份認證系統，應當做成雙機系統。否則如果主伺服器壞掉，所有依賴 FreeIPA 作身份認證的其他系統就會無法登入了，因此 FreeIPA 必須有一個副本伺服器(Replica Server)同時存在。在副本伺服器 ipa1.example.com 上，不用執行 ipa-server-install 安裝操作，執行如下命令。
yum -y install ipa-server ipa-server-dns bind bind-dyndb-ldap (ENTER)
nmcli c modify eno16777736 ipv4.dns 192.168.12 (ENTER)
nmcli c down eno16777736; nmcli c up eno16777736 (ENTER)
回到主 IPA 伺服器，執行如下命令。
ipa dnsrecord-add example.com repl01 –a-rec 192.168.1.13 (ENTER)
ipa-replica-prepare ipa1.example.com –ip-address 192.168.1.13 (ENTER)
然後傳輸 gpg 檔案到副本伺服器。
scp /var/lib/ipa/replica-info- ipa1.example.com.gpg root@repl01.srv.world:/var/lib/ipa/ (ENTER)
再重新設置副本伺服器防火牆。
firewall-cmd –add-service={ssh,dns,freeipa-ldap,freeipa-ldaps,freeipa-replication} –permanent (ENTER)
firewall-cmd –reload (ENTER)
最後給 FreeIPA 加入一個 Web 管理界面，使用瀏覽器存取「https://（FreeIPA的主機名或IP位址）/」即可。輸入用戶名稱 admin，以及伺服器配置過程中設置密碼（圖3），即可登入 FreeIPA 的 Web 管理界面（圖4）。

總結

對於 Linux 系統管理員來說，隨著公司伺服器、服務、用戶越來越多，以前單機用戶管理、單機授權的方式，已不能合符發展的要求，必須要做企業級的集中身份認證授權管理。FreeIPA 是一個非常好用的工具，它可以實現大規模集中管理，以及單點登入 SSO 等工作。

作者簡介
曹江華

畢業於工科大學機電一體化專業，從事 CAD 設計。1999 年開始從事架設網路、管理維護、資料庫管理工作。1999 年後開始接觸 Linux，先後在《51CTO》、《電腦世界》、《IBM 開發者》、《中國電腦報》、《IT168》、《網管員世界》發表 Linux 文章 300 多篇，已出版著作包括《Linux 伺服器安全策略詳解》、《Red Hat Enterprise Linux 5.0 伺服器架設與故障排除》等書。