CentOS 8.1 に FreeIPA Server をセットアップする。
CentOS 8.1 で OpenLDAP Client がセットアップ出来なかった (出来るかもしれないけど廃止予定の OpenLDAP に時間を割く気が起きなかった) ので FreeIPAに切り替えて行くことにした。
FreeIPA は Linux 版 Active Directory 感があって クライアントは DNS での正引き・逆引きが必要 (多分)。
本記事のセットアップでは、名前解決の扱いを下記の通りとする。
- FreeIPA の管理下となるクライアントは FreeIPA 内蔵 DNS で管理
- 外部の名前解決 (Web) は外部の DNS へ転送して行う (DNF Forwarder)
手順は下記の通り。
- ネットワ-ク設定
- NTP 公開設定
- FreeIPA Server インスト-ル
- FreeIPA Server セットアップ
1. ネットワ-ク設定
IP アドレス、ホスト名を設定する (CentOS セットアップ時に設定できるので省略) 。
2. NTP 公開設定
『/etc/chrony.conf』を修正する。
23 行目付近
Allow NTP client access from local network. #allow 192.168.0.0/16 allow アクセスを許す IP アドレス範囲 (例. 192.168.0/24)
*
Firewall 設定は FreeIPA Server セットアップ時に纏めて行う。
3. FreeIPA Server インスト-ル
下記コマンドを実行して FreeIPA Server をインスト-ルする。
dnf module install idm:DL1/dns
4. FreeIPA Server セットアップ
1. 『/etc/hosts』追記
下記コマンドを実行して『hostsファイル』に追記する。
echo 'IP アドレス FQDN ホスト名' >> /etc/hosts
2. FreeIPA Server セットアップ
下記コマンドを実行して FreeIPA Server Setup を起動する。
ipa-server-install --setup-dns
*
Directory Manager、adminの 2 ユ-ザ-分のパスワ-ドが必要になる。
*
Server host name 、domain name 、realm name といった設定情報確認がある。
*
設定情報確認の他に、DNS forwarders を行うかといった確認もある。
3. Firewall 設定
下記コマンドを実行して Firewall を設定する。
firewall-cmd --add-service={freeipa-ldap,freeipa-ldaps,dns,ntp} --permanent
firewall-cmd --reload
4. Kerberos チケット取得
下記コマンドを実行して FreeIPA を使用する前に Kerberos チケットを取得する。
kinit admin
下記コマンドを実行して取得した Kerberos チケットを確認する。
klist
最後に
とりあえず当分は、OpenLDAP と FreeIPA を共用して徐々に FreeIPA 側に移していく。
