大數據安全認證FreeIPA部署

時間  2021-01-17
標籤 linux web vim 安全 服務器 框架 運維 dom ide 工具 欄目 系統安全 简体版
原文   原文鏈接

大數據安全認證FreeIPA部署

標籤(空格分隔): 大數據運維專欄linux

  • 一:FreeIPA 介紹
  • 二:FreeIPA 服務端部署
  • 三:FreeIPA 客戶端部署

一:FreeIPA 概述

###1.1:FreeIPA的介紹web

FreeIPA是一款集成的安全信息管理解決方案。FreeIPA包含Linux (Fedora),389 Directory Server MIT Kerberos, NTP, DNS, Dogtag (Certificate System)等等身份,認證和策略功能。

1.2 FreeIPA的用處

在未部署統一身份管理系統時,管理員須要分別在每一臺主機上爲對應的系統管理員建立、維護帳號和密碼,沒法進行統一的管理。當主機數量增長到必定程度後,也將難以進行有效的安全管理,對帳號密碼泄露等問題難以進行控制。統一身份認證系統能夠幫助咱們解決這一問題。Windows環境下能夠使用域帳號進行身份管理,而在Linux環境下,上文中咱們部署的Freeipa已經提供了相關功能,能夠快速、便捷的將linux系統接入,進行統一的身份認證和權限管理。

MIT KDC
IPA 認證的核心
389 Directory Server
輕量級目錄訪問
Dogtag Certificate System
一款認證系統,提供強大的安全框架來確保用戶的身份以及通信的私密性
SSSD
SSSD是紅帽企業版Linux6中新加入的一個守護進程,該進程能夠用來訪問多種驗證服務器,如LDAP,Kerberos等,並提供受權。SSSD是介於本地用戶和數據存儲之間的進程,本地客戶端首先鏈接SSSD,再由SSSD聯繫外部資源提供者(一臺遠程服務器)

二:FreeIPA 的服務端部署

2.1 環境初始化

系統:
CentOS7.8x64

CDH6.3.2 已經安裝完成

停掉httpd 服務器
關閉chronyd server freeIPA 默認用的是NTP  時間同步

首先要確保安裝FreeIPA服務的服務器主機名爲徹底限定域名(FQDN),flyfish這裏使用rc07bigdata.vpc.uniondrug.com做爲 完整的域名。

2.2 配置FreeIPA 服務端

####2.2.1 配置rngd服務vim

FreeIPA安裝須要大量的隨機數運行加密操做,須要安裝rngd服務防止操做系統的熵值太低

 yum -y install rng-tools

service rngd start 
chkconfig rngd on 

service rngd status

image_1eh1ldf6o1bbf33m1jja1tr61c8b9.png-129.4kB

image_1eh1ldt0f1mi2g5a108o6gqtlfm.png-158.7kB

2.2.2 配置IPV6的按需支持

vim /etc/sysctl.conf
---
net.ipv6.conf.lo.disable_ipv6 = 0
net.ipv6.conf.all.disable_ipv6 = 0
net.ipv6.conf.default.disable_ipv6 = 0
----

sysctl -p

image_1eh1lfdipns912iu128paptpve13.png-124.9kB

image_1eh1lftr314f47bm56n1hjsvbg1g.png-91.5kB

2.2.3 配置freeIPA 服務端

安裝FreeIPA 的 依賴包
 yum -y install ipa-server ipa-server-dns bind bind-dyndb-ldap

image_1eh1lltk0m3bgi31oos15lf7gr1t.png-124.2kB

2.2.4 配置帶DNS的FreeIPA 服務端

ipa-server-install --setup-dns
  域名: vpc.uniondrug.com 
  密碼:12345678

image_1eh1lmp9rpkut381lqo1vi353m2a.png-133.9kB

image_1eh1m3pm3bsodsjplgjn96c2n.png-229.5kB

image_1eh1m553f18eo1v1c1lerkf81n4534.png-209.1kB

到最後

image_1eh1m5t921hhl1cnk1kqu1vgc1sdr3h.png-101.8kB

配置DNS服務器與域

vim /etc/resolv.conf
---
search vpc.uniondrug.com
nameserver 172.16.0.184
nameserver 223.5.5.5
nameserver 114.114.114.114
---

image_1eh1m9eqb1rpe1m7ueav1n44bnd3u.png-35.6kB

ipactl status

image_1eh1ma2vj1rl2hee151avte16c64b.png-71.1kB

測試kerberos 是否可用
kinit admin ----> 密碼:12345678  

klist 

kadmin.local
list_principals

image_1eh1mativqdn1al28v924bc74o.png-88kB

image_1eh1mbfvu132dvrt72f1po41afe55.png-147.5kB

2.2.4 打開web 頁面:

https://rc07bigdata.vpc.uniondrug.com
 用戶名:admin
 密碼:12345678

 這個只認域名不認IP 地址

image_1eh1me5h71uuq8vjs12113v3ep5v.png-197kB

image_1eh1mft7e16rh5bg741fut9d26c.png-240.7kB

2.2.5 建立CDH測試用戶

建立cdhadmin 帳號 密碼 爲cdhadmin

image_1egihej8s58uoqle631k8u7k16p.png-278.4kB

image_1egihg39psre1hf11sms1vr51p5376.png-189.7kB

image_1egihib3pppl5nl1ttacu91g7e80.png-213.9kB

image_1egihj3e31e7g14n41rq6ona16e8d.png-221kB

image_1egihjt3gl4m158tnh81l53k2v8q.png-198.8kB

建立起來的用戶會同步到系統與Kerberos當中

image_1eh1mi4ip1ec19m4sq0lko1p846p.png-125.5kB

三:freeIPA 客戶端的配置

啓用rc06bigdata.vpc.uniondrug.com 主機做爲客戶端測試

vim /etc/reslov.conf 
----
寫上DNS 地址

search vpc.uniondrug.com
nameserver 172.16.0.148
----

nslookup rc07-bigdata.yl-uniondrug.com

image_1eh1mnved1m4v4uuu7tc1d8kv76.png-86.5kB

配置客戶端工具:

yum -y install freeipa-client

image_1eh1mqb6j16uc1ldh1aan3kq14637j.png-298kB

在命令行中執行

ipa-client-install --mkhomedir --realm=VPC.UNIONDRUG.COM --domain=vpc.uniondrug.com --server=rc07bigdata.vpc.uniondrug.com

FreeIPA 服務的用戶名:admin 密碼 12345678

image_1eh1msa4hg2mc69h3vdfu1efr80.png-228.6kB

客戶端rc06bigdata.vpc.uniondrug.com 主機已經注入 FreeIPA 服務器當中

image_1eh1mus3te7kike1r5e18dj1t3k8t.png-254.8kB

在客戶端節點上查看cdhadmin用戶已同步

image_1eh1mvbua1et41krv54v14421ac79a.png-41.2kB

image_1eh1n3rr353r139r1lnrrp2hu19n.png-120.6kB

相關文章
相關標籤/搜索
每日一句
    每一个你不满意的现在,都有一个你没有努力的曾经。
本站公眾號
   歡迎關注本站公眾號,獲取更多信息
聯繫我們 最近搜索 最新文章 沪ICP备13005482号-10 MyBatis教程 SQL 教程 MySQL教程 Java 教程 Thymeleaf 教程 Hibernate教程 Spring教程 Redis教程