IdM服务器是一个集成身份验证服务器。

Figure 1.1. The IdM Server: Unifying Services

Authentication: Kerberos KDC

Kerberos使用对称密钥加密算法生成票据给用户,Kerberos-aware 服务检查票据来验证用户身份。

Data Storage: Red Hat Directory Server

目录服务用于存储所有的Kerberos,用户账号,用户组,系统服务,计算机策略,DNS信息以及其他信息。

Authentication: Red Hat Certificate System

证书系统

Server/Client Discovery: DNS

Domain Name Service (DNS)域名解析服务。

Management: SSSD

System Security Services Daemon (SSSD)是一个凭据缓存服务。

Management: NTP

Network Time Protocol (NTP) 网络时间同步协议。

Figure 1.2. Server and Replica Interactions

Figure 1.3. Server and Client Interactions

Figure 1.4. Interactions Between IdM Services

PART I. 安装IdM服务器

硬件建议配置:

  • 10,000 用户 和 100 用户组, 至少 2GB 内存和 1GB 交换分区。
  • 100,000 用户 和 50,000 用户组, 至少 16GB 内存和 4GB 交换分区。

软件需求:

软件包:ipa-server

如果IdM服务器需要集成DNS服务,还需要安装 bind, bind-dyndb-ldap 软件包。

检查机器名

机器名必须为全称域名。

[root@server ~]# hostname

server.example.com

打开所需端口

Table 2.1. IdM Ports

Service Ports Type
HTTP/HTTPS 80, 443 TCP
LDAP/LDAPS 389, 636 TCP
Kerberos 88, 464 TCP and UDP
DNS 53 TCP and UDP
NTP 123 UDP

首先firewalld服务需要运行并设为自启动

[root@server ~]# systemctl start firewalld.service

[root@server ~]# systemctl enable firewalld.service

检查firewalld服务状态

[root@server ~]# systemctl status firewalld.service

打开IdM Server所需端口

[root@server ~]# firewall-cmd --permanent --add-port={/tcp,/tcp,/tcp,/tcp,/tcp,/tcp,/tcp,/udp,/udp,/udp,/udp}

重新加载防火墙规则,使配置生效

[root@server ~]# firewall-cmd --reload

安装IdM服务器

安装软件包

[root@server ~]# yum install ipa-server bind bind-dyndb-ldap
 启动IdM服务器安装脚本
[root@server ~]# ipa-server-install

安装脚本将设置IdM域所需的所有服务:

  • The network time daemon (ntpd)
  • A Red Hat Directory Server instance
  • A Kerberos key distribution center (KDC)
  • An Apache HTTP server instance (httpd)
  • An updated SELinux targeted policy
  • The Active Directory WinSync plug-in
  • 可选. A certificate authority (CA)
  • 可选. A domain name service (DNS) server

Table 3.1. ipa-server-install 参数

Argument Description
-a ipa_admin_password The password for the IdM administrator. This is used for the admin user to authenticate to the Kerberos realm.
--hostname=host name The fully-qualified domain name of the IdM server machine.

IMPORTANT

The fully-qualified domain name must be a valid DNS name, which means only numbers, alphabetic characters, and hyphens (-) are allowed. Other characters, like underscores, in the host name cause DNS failures. Additionally, the host name must be all lower-case; no capital letters are allowed. For other recommended naming practices, see the Red Hat Enterprise Linux Security Guide.
-n domain_name The name of the LDAP server domain to use for the IdM domain. This is usually based on the IdM server's host name.
-p directory_manager_password The password for the superuser, cn=Directory Manager, for the LDAP service.
-P kerberos_master_password The password for the KDC administrator. This is randomly generated if no value is given.
-r realm_name The name of the Kerberos realm to create for the IdM domain.
--subject=subject_DN Sets the base element for the subject DN of the issued certificates. This defaults to O=realm.
--forwarder=forwarder Gives a DNS forwarder to use with the DNS service. To specify more than one forwarder, use this option multiple times.
--no-forwarders Uses root servers with the DNS service instead of forwarders.
--no-reverse Does not create a reverse DNS zone when the DNS domain is set up. (If a reverse DNS zone is already configured, then that existing reverse DNS zone is used.) If this option is not used, then the default value is true, which assumes that reverse DNS should be configured by the installation script.
--setup-dns Tells the installation script to set up a DNS service within the IdM domain. Using an integrated DNS service is optional, so if this option is not passed with the installation script, then no DNS is configured.
--idmax=number
--idstart=number
 Sets the range for IDs which can be assigned by the IdM server. See Section 10.8.2, “ID Range Assignments During Installation” for more details.
--ip-address
Specifies the IP address of the server. When added to ipa-server-install, this option only accepts IP addresses associated with the local interface.

使用admin凭证验证Kerberos realm可用。

[root@server ~]# kinit admin

非交互式安装

  • -r 设置Kerberos realm的名称
  • -p 设置Directory Manager (DM,Directory Server的超级用户) 密码
  • -a 设置IdM服务器管理员密码
-U 设置为无人值守安装
[root@server ~]# ipa-server-install -r EXAMPLE.COM -p DM_password -a admin_password -U

使用外部 CA 安装IdM

提交certificate signing request (CSR)  /root/ipa.csr 到外部 CA

[root@server ~]# ipa-server-install --external-ca

取回 issued certificate 和 CA certificate chain,再次运行ipa-server-install

[root@server ~]# ipa-server-install --external-cert-file=/tmp/servercert20110601.pem --external-cert-file=/tmp/cacert.pem

Installing without a CA

[root@server ~]# ipa-server-install --http-cert-file /tmp/server.crt --http-cert-file /tmp/server.key --http-pin secret --dirsrv-cert-file /tmp/server.crt --dirsrv-cert-file /tmp/server.key --dirsrv-pin secret --ca-cert-file ca.crt

Installing a CA Certificate Manually

[root@server ~]# ipa-cacert-manage install /etc/group/cert.pem

Installing with an Integrated DNS Service Interactively

[root@server ~]# ipa-server-install --setup-dns

Installing with an Integrated DNS Service Non-Interactively

--forwarder  配置DNS转发

--no-reverse  不创建DNS反向解析区

[root@server ~]# ipa-server-install --setup-dns --forwarder=1.2.3.0 --forwarder=1.2.255.0 --no-reverse

安装IDM客户端

首先firewalld服务需要运行并设为自启动



[root@client ~]# systemctl start firewalld.service [root@server ~]# systemctl enable firewalld.service




打开IdM Client所需端口




[root@client ~]# firewall-cmd --permanent --add-port={/tcp,/tcp,/tcp,/tcp,/tcp,/tcp,/tcp,/udp,/udp,/udp,/udp}




重新加载防火墙规则,使配置生效




[root@client ~]# firewall-cmd --reload




安装IdM客户端


一般用户机器运行




[root@client ~]# yum install ipa-client




管理员机器可以同时安装IPA管理工具 ipa-admintools




[root@client ~]# yum install ipa-client ipa-admintools




参数:


--no-nisdomain  不设置NIS域名


--nisdomain  自定义NIS域名


--no-sudo   不设置sudo服务


--enable-dns-updates   更新客户端IP到DNS记录中


--domain   指定DNS域名


--server   指定IdM服务器的全称域名


--realm   指定Kerberos realm名称


-p   指定Kerberos principal名称


--fixed-primary   指定首选IdM服务器


--noac  不使用authconfig


--no-sss   不使用SSSD


--no-krb5-offline-passwords   不使用SSSD缓存密码


Example. 更新客户端IP到DNS记录中




[root@client ~]# ipa-client-install --enable-dns-updates






												


											
RedHat7配置IdM server的更多相关文章
	

    
								
  1. Postgresql 简单配置 (ubuntu server 14.04.3)
		
    安装和配置 ubuntu server 已经自动安装了progresql,故安装步骤就省略 初始postgresql没有密码,不能使用,需要先设置密码,命令(从网上随意找的)如下: sudo su p ...
    
		
    2. 
						
  2. 配置SQL Server去使用 Windows的 Large-Page/Huge-Page  allocations
		
    配置SQL Server去使用 Windows的 Large-Page/Huge-Page  allocations 目录表->页表->物理内存页 看这篇文章之前可以先看一下下面这篇文章  ...
    
		
    3. 
						
  3. 配置sql server 2000以允许远程访问 及 连接中的四个最常见错误
		
    地址:http://www.cnblogs.com/JoshuaDreaming/archive/2010/12/01/1893242.html 配置sql server 2000以允许远程访问适合故 ...
    
		
    4. 
						
  4. 配置SQL Server 2008 R2 Reporting Services
		
    记录如何在本地配置SQL Server 2008 R2 Reporting Services,笔者环境为Windows 7 64位 + SQL Server 2008 R2 一.准备工作 其实准备工作 ...
    
		
    5. 
						
  5. Ubuntu配置ssh server
		
    SSH-Server配置指南 一.SSH简介 SSH (Secure Shell)是一个应用程序中提供安全通信的协议,通过SSH协议可以安全地访问服务器,因为SSH 具有成熟的公钥加密体系,在数据进行 ...
    
		
    6. 
						
  6. 配置SQL Server 2008服务器
		
    怎么配置SQL Server 2008服务器_百度经验 http://jingyan.baidu.com/article/9faa7231a922c1473c28cb23.html 1.验证安装是否成 ...
    
		
    7. 
						
  7. 第三篇——第二部分——第五文 配置SQL Server镜像——域环境SQL Server镜像日常维护
		
    本文接上面两篇搭建镜像的文章: 第三篇--第二部分--第三文 配置SQL Server镜像--域环境:http://blog.csdn.net/dba_huangzj/article/details/ ...
    
		
    8. 
						
  8. 第三篇——第二部分——第三文 配置SQL Server镜像——域环境
		
    原文:第三篇--第二部分--第三文 配置SQL Server镜像--域环境 原文出处:http://blog.csdn.net/dba_huangzj/article/details/28904503 ...
    
		
    9. 
						
  9. 第三篇——第二部分——第四文 配置SQL Server镜像——非域环境
		
    原文:第三篇--第二部分--第四文 配置SQL Server镜像--非域环境 本文为非域环境搭建镜像演示,对于域环境搭建,可参照上文:http://blog.csdn.net/dba_huangzj/ ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. http://rogerdudler.github.io/git-guide/index.zh.html
			
    http://rogerdudler.github.io/git-guide/index.zh.html
    
			
    2. 
						
  2. Java RMI简单例子HelloWorld
			
    Java RMI 指的是远程方法调用 (Remote Method Invocation).它是一种机制,能够让在某个 Java 虚拟机上的对象调用另一个 Java 虚拟机中的对象上的方法.可以用此方 ...
    
			
    3. 
						
  3. 李洪强iOS开发之-Swift_00_介绍
			
    SWIFT (计算机编程语言) Swift,苹果于2014年WWDC(苹果开发者大会)发布的新开发语言,可与Objective-C*共同运行于Mac OS和iOS平台,用于搭建基于苹果平台的应用程序. ...
    
			
    4. 
						
  4. 如何使用mysql的grant命令(详解)
			
    grant命令的基本格式 grant 权限 on 数据库对象 to 用户 实例一:在任意ip地址登陆的common_user用户可以对testdb数据库里的数据进行查询操作.插入操作.更新操作.删除操 ...
    
			
    5. 
						
  5. [转贴]gsoap使用心得!
			
    最近换了个工作环境,现在在大望路这边上班,呵,刚上班接到的任务就是熟悉gsoap!废话少说,现在开始gSoap学习! gSOAP是一个夸平台的,用于开发Web Service服务端和客户端的工具,在W ...
    
			
    6. 
						
  6. TF卡的Class4/Class6/Class10
			
    TF卡全称TransFlash卡,即T-Flash又称MicroSD,随设备微型化的需要,TF卡用途越来越广,速度也越来越快,从最初的Class2早已发展到目前主流的Class10,TF卡体积为15m ...
    
			
    7. 
						
  7. 心愿:做一个精简版MFC
			
    我觉得自己有能力看懂MFC的C++代码和总体流程,但是由于MFC混杂了太多的东西,比如OLE等等不必要的东西,又做了无数的ASSERT判断,影响整体流程的理解.因此我要做一个精简版的MFC,而且能用它 ...
    
			
    8. 
						
  8. 消息队列feed程序实现中的问题
			
    因项目需要, 构建了很多消息队列还排队处理任务, 相应的每个队列也配有一个feed程序来feed消息 一开始很简单地这样做: while (true){ $msg = $query->bPop( ...
    
			
    9. 
						
  9. Javascript水平提升
			
    1,学习js分几个阶段,没入门,入门初学者,中级水平,高级水平,ppt水平. 2,没入门的如何学习? 我当初是先学jquery,有css和html基础,有css基础看jq的语法很简单,就是选择符,jq ...
    
			
    10. 
						
  10. POJ_3579_Median_(二分,查找第k大的值)
			
    描述 http://poj.org/problem?id=3579 给你一串数,共C(n,2)个差值(绝对值),求差值从大到小排序的中值,偶数向下取. Median Time Limit: 1000M ...
    
			
    11.