中文字幕av专区_日韩电影在线播放_精品国产精品久久一区免费式_av在线免费观看网站

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

如何從零構建ipa-server實現ldap+kerberos網絡用戶驗證

發布時間:2021-11-23 22:32:04 來源:億速云 閱讀:191 作者:柒染 欄目:網絡管理

本篇文章給大家分享的是有關如何從零構建ipa-server實現ldap+kerberos網絡用戶驗證,小編覺得挺實用的,因此分享給大家學習,希望大家閱讀完這篇文章后可以有所收獲,話不多說,跟著小編一起來看看吧。

1,用戶信息和認證服務介紹

1.1隨著現在網絡的發展,在企業中主機也越來越多,主機用戶管理變成一件很艱難的任務,
一種解決方式,賬號信息不存放在本地系統中,而是賬號信息存儲在一個中心位置,實現用戶的集中管理。
單點登錄(single sign on )簡稱SSO,是目前比較流行的企業業務整合的解決方案之一,
SSO的定義是定義在多個應用系統中,用戶只需要登錄一次就可以訪問所有信任的應用系統。

1.2構建一個集中認證管理系統需要提供:賬戶信息和認證信息

1.2.1賬戶信息:包含如,用戶名,UID,GID等

    存儲賬號信息流行的解決方案:LADP,NIS,AD或IPA-server

1.2.2認證信息:密碼,指紋等。

ldap服務
kerberos 是一種網絡認證協議,僅提供SSO認證服務,通常和LDAP一起使用。

典型的實現方案:AD(微軟活動目錄)和IPA-server

2,從零搭建IPA-server

2.1準備工作:

一臺物理主機,兩臺vm虛擬機,系統為redhat7.0以上(安裝了圖形界面的)。
物理主機的地址為:ip:192.168.0.111/24 gw:192.168.0.1 dns192.168.0.1 地址可以根據自己的情況而定
第一臺虛擬機:網卡類型為自動橋接:ip:192.168.0.118/24 gw:192.168.0.1 dns 可以暫時不用配置。這臺虛擬機我們將要它配置成ipa-server
第二臺虛擬機:網卡類型為自動橋接:ip:192.168.0.119/24 gw;192.168.0.1 dns:192.168.0.118


2.2  IPA-server服務安裝前條件:

1,必須要有完整的主機名  
2,一個靜態的ip地址
3,能夠對主機名做解析(正向和反向解析)
4,hosts文件也要對主機名做解析。不能解析到127.1
5,開通防火墻規則和服務
6, 做時間ntp同步

2.3步驟:現在操作192.168.0.118這臺虛擬機,下面就簡稱為:server了

1,設置主機名為server.zhuxu.co
[root@server ~]# hostnamectl set-hostname server.zhuxu.co
[root@server ~]# hostname server.zhuxu.co
2,一個靜態的ip地址上面準備工作已經設置好了
3,能夠對主機名做解析(正向和反向解析)這步不用做,安裝ipa-server,會自動配置dns服務
4,vim /etc/hosts 文件,添加 192.168.0.118   server.zhuxu.co    server 這一行。
5,為了簡化步驟,直接關閉防火墻和selinux.(我會再另外發一個版本,加上防火墻的配置)
[root@server ~]# iptables -F清除iptables規則
[root@server ~]# systemctl stop iptables  停止iptables服務
[root@server ~]# systemctl disable iptables 禁止iptables 開機啟動
[root@server ~]# systemctl stop firewalld  停止firewalld 服務
[root@server ~]# systemctl disable firewalld 禁止firewalld 開機啟動
[root@server ~]# setenforce 0 臨時關閉selinux
編輯/etc/selinux/conf 文件 SELINUX=permissive

6,vim /etc/chrony.conf 注釋前三個時間服務,編輯最后一個為:server ntp1.aliyun.com iburst
[root@server ~]#systemctl restart chronyd.service 重啟時間服務

7,配置好yum源,我這選擇掛載光盤來做yum倉庫。
[root@server ~]# vim /etc/yum.repos.d/server.repo
在文件中輸入以下內容

[base]name=redhat7baseurl=file:///mntenabled=1gpgcheck=0

掛載光盤到/mnt下(請確保光盤是連接狀況)
[root@server ~]# mount /dev/cdrom /mnt

服務器端安裝條件準備好了:

2.4,安裝ipa-server

ipa-server 依賴于dns服務才能工作,我們要裝的包有:ipa-server bind bind-dyndb-ldap ipa-server-dns
bind 是提供dns服務,bind-dyndb-ldap是提供dns和ldap連接組件等,
ipa-server-dns提供了ipa-server與dns連接組件等(根據安裝系統時候選的包不同,這個包有可能裝過了)

[root@server ~]# yum install -y ipa-server bind  bind-dyndb-ldap ipa-server-dns

2.5配置ipa-server

[root@server ~]# ipa-server-install --setup-dns   ---安裝ipa-server自動配置dnsServer host name [server.zhuxu.co]:     ---回車鍵(默認)
Please confirm the domain name [zhuxu.co]:    ---回車鍵(默認)
Please provide a realm name [ZHUXU.CO]:  ---回車鍵(默認)
Directory Manager password:   ---設置目錄管理的密碼 最少是8位
IPA admin password:  ---設置ipa 管理員admin的密碼 最少8位 一定要記住,后面要用到
Do you want to configure DNS forwarders? [yes]: no ---你想配置dns為轉發器嗎? 選擇noDo you want to search for missing reverse zones? [yes]: yes --你想配置dns的反向域嗎?選擇yesContinue to configure the system with these values? [no]: yes --繼續配置系統其他的值? 選擇yes
[root@server ~]# systemctl enable sssd      --開機自啟動sssd服務(sssd:system security service deamon 系統安全服務)[root@server ~]# systemctl start sssd  --開啟sssd服務(可能默認已經開啟了)[root@server ~]# authconfig  --enablemkhomedir --update  創建的用戶,默認創建用戶家目錄,更新認證信息

2.6驗證ipa-server和dns.

2.6.1驗證ipa-server
[root@server ~]# kinit admin   ---必須要登陸admin 才能管理域Password for admin@ZHUXU.CO: 
[root@server ~]# ipa user-find --all  查看所有域用戶的信息1 user matched
  dn: uid=admin,cn=users,cn=accounts,dc=zhuxu,dc=co
  User login: admin
  ....
Number of entries returned 1

2.6.2驗證nds,正反向解析

[root@server ~]# dig -t a server.zhuxu.co 查看server.zhuxu.co 的A 記錄[root@server ~]# dig -t ptr  118.0.168.192.in-addr.apra 查看server.zhuxu.co 的PTR記錄

2.7服務器配置結束。重啟系統

[root@server ~]# reboot

3,通過圖像界面添加用戶和主機(通過命令也會介紹請看下一章nfs使用域用戶)

可以通過server.zhuxu.co 終端中的火狐輸入https://server.zhuxu.co/ipa/ui 來管理。
如何從零構建ipa-server實現ldap+kerberos網絡用戶驗證

如何從零構建ipa-server實現ldap+kerberos網絡用戶驗證

如何從零構建ipa-server實現ldap+kerberos網絡用戶驗證

如何從零構建ipa-server實現ldap+kerberos網絡用戶驗證

如何從零構建ipa-server實現ldap+kerberos網絡用戶驗證

如何從零構建ipa-server實現ldap+kerberos網絡用戶驗證
如何從零構建ipa-server實現ldap+kerberos網絡用戶驗證

客戶端配置

1準備工作

1,配置主機名

[root@client ~]# hostnamectl set-hostname client.zhuxu.co[root@client ~]# hostname client.zhuxu.co

2,設置一個靜態ip地址 dns一定要指向server.zhuxu.co 的ip
3,關閉防火墻同server端一樣
4,修改hosts文件,添加192.168.0.119 client.zhuxu.co  client
5,做時間同步
vim /etc/chrony.conf 注釋前三個時間服務,編輯最后一個為:server ntp1.aliyun.com iburst
[root@server ~]#systemctl restart chronyd.service 重啟時間服務
6,配置好yum源,我這選擇掛載光盤來做yum倉庫。
[root@server ~]# vim /etc/yum.repos.d/server.repo
在文件中輸入以下內容

[base]name=redhat7baseurl=file:///mntenabled=1gpgcheck=0

掛載光盤到/mnt下(請確保光盤是連接狀況)

[root@server ~]# mount /dev/cdrom /mnt

2配置客戶端

2.1yum install -y authconfig  authconfig-gtk ipa-client

2.2用圖形化配置kerberos認證信息

[root@client ~]#authconfig-gtk
如何從零構建ipa-server實現ldap+kerberos網絡用戶驗證

如何從零構建ipa-server實現ldap+kerberos網絡用戶驗證

2.3配置ipa-client

[root@client ~]# ipa-client-install   --domain=zhuxu.co --no-ntp`--realm=ZHUXU.CO --mkhomedir  
加入域,不啟用ntp,創建用戶時自動創建家目錄
Continue to configure the system with these values? [no]: yes ---繼續配置系統其他的值? 選擇yes
User authorized to enroll computers: admin  ---域管理員
Password for admin@ZHUXU.CO:   ---密碼

3驗證用戶是否能登錄

[root@client ~]# ssh tom@client.zhuxu.co    ---在客戶端實驗登錄
Password:                                 ---輸入密碼
Password expired. Change your password now.  --提醒你密碼過期
Current Password:        --輸入現用密碼
New password:            ---新密碼
Retype new password:
Creating home directory for tom.
[tom@client ~]$ whoami   --登陸成功
tom
[tom@client ~]$ pwd    --在家目錄下,說明家目錄也是創建成功了。
/home/tom

所有配置結束,在網上搜索不到ipa-server 配置方法。這可能是在百度中找到的最全的配置方法了,還是從零構建的。

以上就是如何從零構建ipa-server實現ldap+kerberos網絡用戶驗證,小編相信有部分知識點可能是我們日常工作會見到或用到的。希望你能通過這篇文章學到更多知識。更多詳情敬請關注億速云行業資訊頻道。

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

台北市| 瓦房店市| 上饶县| 淳化县| 司法| 张家界市| 旬阳县| 冀州市| 财经| 资溪县| 平谷区| 仁化县| 镇宁| 防城港市| 奉化市| 石景山区| 贵溪市| 定日县| 仙居县| 自治县| 阿荣旗| 酉阳| 格尔木市| 汽车| 香格里拉县| 泊头市| 民和| 广昌县| 新巴尔虎左旗| 伊春市| 乌兰县| 老河口市| 双鸭山市| 龙州县| 黎城县| 台江县| 怀来县| 利辛县| 团风县| 简阳市| 施甸县|