FreeIPA完全指南

在當今互聯網時代，自動化身份管理是一項至關重要的任務。FreeIPA是一個完全的身份管理解決方案，可以尤其地優秀地工作在Linux平台上。FreeIPA是一個開源的，集成了許多開源身份技術的解決方案。當你從本指南中學習FreeIPA時，你將獲得以下內容：

• 如何以APP方式部署FreeIPA
• 如何使用keepalived保證FreeIPA的高可用性
• 如何在FreeIPA中掛載網盤
• 如何在FreeIPA創建管理員
• 如何在FreeIPA中管理web端口
• 如何使用FreeIPA建立與外部AD Forest的受信任關係
• 如何通過FreeIPA進行ovirt身份認證
• 如何在FreeIPA自動掛載文件系統

一、FreeIPAPP

FreeIPA是一個大而全的解決方案，其包含了許多應用程序。為了使管理員能夠更加容易地部署，FreeIPA提供了FreeIPA APP，這是一種可以自動安裝和配置所有應用程序的方式。下面是使用FreeIPA APP以及systemctl在CentOS7中部署FreeIPA的命令：

# yum install -y ipa-server ipa-server-trust-ad ipa-server-dns ipa-server-trust-ad
# domain="example.com"
# master="ipa1.$domain"
# pass="password"
# ipa-server-install -r $domain -n $(hostname) -a $pass --hostname $master -U --setup-dns --forwarder=8.8.8.8 -p $pass --setup-ca --no-ntp

二、FreeIPA keepalived

使用keepalived可以保證FreeIPA的高可用性。當你使用FreeIPA keepalived時，你需要創建虛擬IP地址（VIP），並將其分配給FreeIPA。虛擬IP地址可以隨時間變化。如果一台服務器出現問題，則move_service選項將嘗試重新啟動另一台服務器上的服務。以下是CentOS 7上keepalived安裝的命令，並且check.sh用於檢查keepalived執行操作的功能是否正確:

# yum install -y keepalived
# cat > /etc/keepalived/check.sh <> \${log_file}
EOF
# chmod +x /etc/keepalived/check.sh

三、FreeIPA掛載網盤

FreeIPA支持掛載網絡共享，可以讓你直接從FreeIPA登錄到網絡共享。以下是指定FreeIPA掛載NFS網絡共享的命令：

ipa netgroup-add-member allhosts --nisdomain=example.com
ipa automountkey-add freeipanfs default --key="(rw,hard,bg,intr,noatime)" --info="Mount directory" --location=file:///mnt/nfs
ipa automountlocation-add freeipanfs auto.home --add-mount="-fstype=nfs4 server:/export/home/&" --info="Load users home directories" --options="nosuid,nodev,soft,nobootwait"
ipa automountmap-add freeipa --key="-fstype=nfs4 server:/export/home/&" --info="auto.home" --mount="/home/&"
ipa automountkey-add freeipanfs users --key="(rw,hard,bg,intr,noatime)" --info="Mount directory" --location=file:///mnt/nfs
ipa automountmap-add freeipa --key="/- /home/&" --info="users" --mount="/mnt/nfs/users"

四、FreeIPA創建管理員

創建IPA管理員的最初步驟就是創建了所有對象和秘密數據。通過以下命令可以創建管理員（需要在root賬戶下進行）：

kinit admin
ipa config-mod --enable-migration=1
ipa user-add admin --shell="/bin/bash" --first="Red" --last="Hat" --password

五、FreeIPA web 端口

默認情況下，FreeIPA的Web界面服務運行在389端口。但有時需要將HTTP端口更改為80，即使用默認HTTP端口。這是特別有用的，因為大多數Web瀏覽器無法友好地處理非標準端口。要更改FreeIPA的HTTP端口，請在服務器上完成以下步驟：

# sed -i 's/WsgiServer /WsgiServer -D \${OPTIONS} --port=80 /g' /usr/lib/systemd/system/httpd.service

六、FreeIPA trust ad

要在FreeIPA環境中建立與外部AD Forest的受信任關係，需要使用兩個命令：ipa-adtrust-install和ipa trust-add。這兩個命令會執行一系列的任務，並創建信任關係。以下是建立與Oak Forest域的受信任關係的命令：

ipa-adtrust-install --uninstall 
ipa-adtrust-install --enable-compat 
ipa trust-add --type=ad --admin Administrator --password

七、FreeIPA ovirt身份認證

如果你使用的是oVirt作為虛擬化管理器，那麼配置FreeIPA，以進行oVirt的身份認證是非常有用的事情。要使用FreeIPA進行ovirt身份認證，需要使用以下命令：

# engine-config --set AuthenticationMethod=kerberos
# kinit admin
# authconfig --enablekrb5 --update
# yum install -y ovirt-engine-ext-aaa-ldap ovirt-engine-extension-aaa-ldap-setup
# ovirt-engine-extension-aaa-ldap-setup

八、FreeIPA automount選取

要使用FreeIPA Automount，你需要執行以下步驟：

1. 首先安裝可以自動掛載的NFS共享，如下所示：

# mkdir /mnt/nfs
# echo 'nfsserver:/nfs /mnt/nfs nfs rw,vers=3,auto 0 0' >> /etc/fstab
# mount -a

2. 之後安裝autofs包：

# yum install -y autofs

3. 之後就可以通過ipa automountkey-add命令向默認的LDAP目錄中添加掛載條目。

以上就是本文對FreeIPA的詳細闡述，當然還有很多其它方面的知識等待你的挖掘。通過學習和實踐，相信你會成為一名FreeIPA的專家。