如何從零構建ipa-server實現ldap+kerberos網絡用戶驗證

本篇文章給大家分享的是有關如何從零構建ipa-server實現ldap+kerberos網絡用戶驗證，小編覺得挺實用的，因此分享給大家學習，希望大家閱讀完這篇文章后可以有所收獲，話不多說，跟著小編一起來看看吧。

1，用戶信息和認證服務介紹

1.1隨著現在網絡的發展，在企業中主機也越來越多，主機用戶管理變成一件很艱難的任務，
一種解決方式，賬號信息不存放在本地系統中，而是賬號信息存儲在一個中心位置，實現用戶的集中管理。
單點登錄（single sign on ）簡稱SSO，是目前比較流行的企業業務整合的解決方案之一，
SSO的定義是定義在多個應用系統中，用戶只需要登錄一次就可以訪問所有信任的應用系統。

1.2構建一個集中認證管理系統需要提供：賬戶信息和認證信息

1.2.1賬戶信息：包含如，用戶名，UID,GID等

    存儲賬號信息流行的解決方案：LADP,NIS,AD或IPA-server

1.2.2認證信息：密碼，指紋等。

ldap服務
kerberos 是一種網絡認證協議，僅提供SSO認證服務，通常和LDAP一起使用。

典型的實現方案：AD（微軟活動目錄）和IPA-server

2，從零搭建IPA-server

2.1準備工作：

一臺物理主機，兩臺vm虛擬機，系統為redhat7.0以上(安裝了圖形界面的)。
物理主機的地址為：ip:192.168.0.111/24 gw:192.168.0.1 dns192.168.0.1 地址可以根據自己的情況而定
第一臺虛擬機：網卡類型為自動橋接：ip:192.168.0.118/24 gw:192.168.0.1 dns 可以暫時不用配置。這臺虛擬機我們將要它配置成ipa-server
第二臺虛擬機：網卡類型為自動橋接：ip:192.168.0.119/24 gw；192.168.0.1 dns:192.168.0.118

2.2  IPA-server服務安裝前條件：

1，必須要有完整的主機名  
2，一個靜態的ip地址
3，能夠對主機名做解析（正向和反向解析）
4，hosts文件也要對主機名做解析。不能解析到127.1
5，開通防火墻規則和服務
6, 做時間ntp同步

2.3步驟：現在操作192.168.0.118這臺虛擬機，下面就簡稱為：server了

1，設置主機名為server.zhuxu.co
[root@server ~]# hostnamectl set-hostname server.zhuxu.co
[root@server ~]# hostname server.zhuxu.co
2,一個靜態的ip地址上面準備工作已經設置好了
3，能夠對主機名做解析（正向和反向解析）這步不用做，安裝ipa-server,會自動配置dns服務
4，vim /etc/hosts 文件，添加 192.168.0.118   server.zhuxu.co    server 這一行。
5，為了簡化步驟，直接關閉防火墻和selinux.(我會再另外發一個版本，加上防火墻的配置)
[root@server ~]# iptables -F清除iptables規則
[root@server ~]# systemctl stop iptables  停止iptables服務
[root@server ~]# systemctl disable iptables 禁止iptables 開機啟動
[root@server ~]# systemctl stop firewalld  停止firewalld 服務
[root@server ~]# systemctl disable firewalld 禁止firewalld 開機啟動
[root@server ~]# setenforce 0 臨時關閉selinux
編輯/etc/selinux/conf 文件 SELINUX=permissive

6，vim /etc/chrony.conf 注釋前三個時間服務，編輯最后一個為：server ntp1.aliyun.com iburst
[root@server ~]#systemctl restart chronyd.service 重啟時間服務

7，配置好yum源，我這選擇掛載光盤來做yum倉庫。
[root@server ~]# vim /etc/yum.repos.d/server.repo
在文件中輸入以下內容

[base]name=redhat7baseurl=file:///mntenabled=1gpgcheck=0

掛載光盤到/mnt下（請確保光盤是連接狀況）
[root@server ~]# mount /dev/cdrom /mnt

服務器端安裝條件準備好了：

2.4，安裝ipa-server

ipa-server 依賴于dns服務才能工作，我們要裝的包有：ipa-server bind bind-dyndb-ldap ipa-server-dns
bind 是提供dns服務，bind-dyndb-ldap是提供dns和ldap連接組件等，
ipa-server-dns提供了ipa-server與dns連接組件等（根據安裝系統時候選的包不同，這個包有可能裝過了）

[root@server ~]# yum install -y ipa-server bind  bind-dyndb-ldap ipa-server-dns

2.5配置ipa-server

[root@server ~]# ipa-server-install --setup-dns   ---安裝ipa-server自動配置dnsServer host name [server.zhuxu.co]:     ---回車鍵（默認）
Please confirm the domain name [zhuxu.co]:    ---回車鍵（默認）
Please provide a realm name [ZHUXU.CO]:  ---回車鍵（默認）
Directory Manager password:   ---設置目錄管理的密碼 最少是8位
IPA admin password:  ---設置ipa 管理員admin的密碼 最少8位 一定要記住，后面要用到
Do you want to configure DNS forwarders? [yes]: no ---你想配置dns為轉發器嗎？ 選擇noDo you want to search for missing reverse zones? [yes]: yes --你想配置dns的反向域嗎？選擇yesContinue to configure the system with these values? [no]: yes --繼續配置系統其他的值？ 選擇yes

[root@server ~]# systemctl enable sssd      --開機自啟動sssd服務（sssd:system security service deamon 系統安全服務）[root@server ~]# systemctl start sssd  --開啟sssd服務（可能默認已經開啟了）[root@server ~]# authconfig  --enablemkhomedir --update  創建的用戶，默認創建用戶家目錄，更新認證信息

2.6驗證ipa-server和dns.

2.6.1驗證ipa-server

[root@server ~]# kinit admin   ---必須要登陸admin 才能管理域Password for admin@ZHUXU.CO: 
[root@server ~]# ipa user-find --all  查看所有域用戶的信息1 user matched
  dn: uid=admin,cn=users,cn=accounts,dc=zhuxu,dc=co
  User login: admin
  ....
Number of entries returned 1

2.6.2驗證nds,正反向解析

[root@server ~]# dig -t a server.zhuxu.co 查看server.zhuxu.co 的A 記錄[root@server ~]# dig -t ptr  118.0.168.192.in-addr.apra 查看server.zhuxu.co 的PTR記錄

2.7服務器配置結束。重啟系統

[root@server ~]# reboot

3，通過圖像界面添加用戶和主機（通過命令也會介紹請看下一章nfs使用域用戶）

可以通過server.zhuxu.co 終端中的火狐輸入https://server.zhuxu.co/ipa/ui 來管理。

客戶端配置

1準備工作

1,配置主機名

[root@client ~]# hostnamectl set-hostname client.zhuxu.co[root@client ~]# hostname client.zhuxu.co

2,設置一個靜態ip地址 dns一定要指向server.zhuxu.co 的ip
3,關閉防火墻同server端一樣
4，修改hosts文件，添加192.168.0.119 client.zhuxu.co  client
5,做時間同步
vim /etc/chrony.conf 注釋前三個時間服務，編輯最后一個為：server ntp1.aliyun.com iburst
[root@server ~]#systemctl restart chronyd.service 重啟時間服務
6，配置好yum源，我這選擇掛載光盤來做yum倉庫。
[root@server ~]# vim /etc/yum.repos.d/server.repo
在文件中輸入以下內容

[base]name=redhat7baseurl=file:///mntenabled=1gpgcheck=0

掛載光盤到/mnt下（請確保光盤是連接狀況）

[root@server ~]# mount /dev/cdrom /mnt

2配置客戶端

2.1yum install -y authconfig  authconfig-gtk ipa-client

2.2用圖形化配置kerberos認證信息

[root@client ~]#authconfig-gtk

2.3配置ipa-client

[root@client ~]# ipa-client-install   --domain=zhuxu.co --no-ntp`--realm=ZHUXU.CO --mkhomedir  
加入域，不啟用ntp,創建用戶時自動創建家目錄
Continue to configure the system with these values? [no]: yes ---繼續配置系統其他的值？ 選擇yes
User authorized to enroll computers: admin  ---域管理員
Password for admin@ZHUXU.CO:   ---密碼

3驗證用戶是否能登錄

[root@client ~]# ssh tom@client.zhuxu.co    ---在客戶端實驗登錄
Password:                                 ---輸入密碼
Password expired. Change your password now.  --提醒你密碼過期
Current Password:        --輸入現用密碼
New password:            ---新密碼
Retype new password:
Creating home directory for tom.
[tom@client ~]$ whoami   --登陸成功
tom
[tom@client ~]$ pwd    --在家目錄下，說明家目錄也是創建成功了。
/home/tom

所有配置結束，在網上搜索不到ipa-server 配置方法。這可能是在百度中找到的最全的配置方法了，還是從零構建的。

以上就是如何從零構建ipa-server實現ldap+kerberos網絡用戶驗證，小編相信有部分知識點可能是我們日常工作會見到或用到的。希望你能通過這篇文章學到更多知識。更多詳情敬請關注億速云行業資訊頻道。