FreeIPA Sunucusu RHEL 9’a Nasıl Kurulur?

Bu kılavuzda, adım adım FreeIPA sunucusunun RHEL 9’a nasıl kurulacağını göstereceğiz.

RedHat sponsorluğunda, FreeIPA , – Identity Policy Authentication – özellikle Linux/Unix ortamları için tasarlanmış ücretsiz ve açık kaynaklı bir kimlik ve Kimlik Doğrulama yönetimi çözümüdür. Windows için Active Directory ne ise, FreeIPA Linux için odur.

FreeIPA, bir Linux ortamında kullanıcı hesaplarının kimlik doğrulaması ve yetkilendirilmesi için merkezi bir çözüm sunar. RedHat’ın IdM’sinin (Identity Manager) Yukarı Akışıdır ve aşağıdaki açık kaynak bileşenlerinin üzerine inşa edilmiştir:

• NTP Sunucusu – Ağ Zaman Protokolü Sunucusu
• Apache HTTP Sunucusu – FreeIPA’ya Web tarayıcısından erişmenize ve bunları yönetmenize izin veren bir web sunucusu.
• 389 Dizin Sunucusu – Bu, bir LDAP uygulamasıdır ve tam bir çok yöneticili LDAPv3 dizin altyapısı sağlayan ana veri deposudur.
• Dogtag PKI Sertifika Yetkilisi – CA sertifika yönetimi işlevleri sağlar.
• MIT Kerberos KDC – Bu, Tek Oturum Açma kimlik doğrulaması için bir Kerberos veritabanı ve hizmeti sağlar.
• I SC Bind DNS sunucusu – Alan Adlarını yönetir
• Python Yönetim çerçevesi

Önkoşullar

Başlamak için, dikkat etmeniz gereken ön koşullardan bazıları şunlardır:

• RHEL 9 Server’ın yeni kurulumu
• En az 4 GB RAM
• En az 2 vCPU
• Minimum 10 GB sabit disk alanı.
• Red Hat Aboneliği veya yerel olarak yapılandırılmış yum deposu.
• Sunucunuzun Genel IP adresini gösteren bir FQDN (Tam Nitelikli Etki Alanı Adı). Bu kılavuz için, sunucunun genel IP’si 74.207.228.169’a işaret eden linuxtechwhiz.info adlı kayıtlı bir etki alanı kullanıyoruz.
• 443 ve 80 numaralı bağlantı noktaları başka bir uygulama tarafından kullanılmamalıdır

Adım 1) Ana bilgisayar adını yapılandırın ve /etc/hosts dosyasını güncelleyin

Başlamak için sunucunuzun ana bilgisayar adını FQDN’ye karşılık gelecek şekilde yapılandırmanız gerekir. Ana bilgisayar adını değiştirmek için aşağıdaki sözdizimini kullanın:

$ sudo hostnamectl set-hostname sizin-ana bilgisayar adınız

Bizim durumumuzda, komut şöyle olacaktır:

$ sudo hostnamectl set-hostname sunucucozumleri.com

Ana bilgisayar adı değişikliğini onaylamak için şu komutu çalıştırın:

$ hostname

Ardından, /etc/hosts dosyasına erişin.

$ sudo vim /etc/hosts

FQDN’niz için gösterildiği gibi bir giriş ekleyin

sunucu-kamu-ip fqdn.example.com

Bizim durumumuzda, bu olacak:

127.0.0.1         sunucucozumleri.com

Değişiklikleri kaydedin ve çıkın.

Ardından, ana bilgisayar adı olarak da yapılandırılan kayıtlı etki alanının, sunucunun genel IP’sine çözümlendiğini onaylayın. Bunu alan adına ping atarak yapabilirsiniz.

$ ping -c 4 sunucucozumleri.com

Adım 2) SELinux’u yapılandırın

Ardından, bir tarayıcıdan FreeIPA sunucusuna erişmek için SELinux’u yapılandırmanız gerekir. Burada SELinux’u ‘ permissive ‘ moduna ayarlayacağız.

Bunu yapmak için aşağıdaki komutları çalıştırın:

$ sudo setenforce 0
$ sudo sed -i 's/^SELINUX=.*/SELINUX=permissive/g' /etc/selinux/config

SELinux durumundaki değişikliği onaylamak için şu komutu çalıştırın:

$ sestatus

 
Ardından, değişikliklerin yürürlüğe girmesi için sistemi yeniden başlatın.

$ sudo reboot

Adım 3) FreeIPA Sunucusunu RHEL 9’a kurun

FreeIPA sunucusunu sisteminize kurmak için şu komutu çalıştırın:

$ sudo dnf install freeipa-server -y

Bu, bir dizi FreeIPA paketi ve bir dizi başka ek paket kurar.

FreeIPA DNS Sunucusunu kurmak istiyorsanız, devam edin ve gösterildiği gibi DNS paketlerini kurun.

$ sudo dnf install ipa-server-dns bind-dyndb-ldap -y

Adım 4) FreeIPA Sunucusunu Kurun

FreeIPA Sunucusunun kurulumu, FreeIPA sunucusunun çeşitli bileşenlerinin konfigürasyonunu otomatikleştiren basit bir komut dosyası kullanılarak basitleştirilmiştir.

Sunucu kurulumuna başlamak için aşağıdaki betiği çalıştırın,

$ sudo ipa-server-install

Komut dosyası, bir dizi istemde size yol gösterir. İlk istem, entegre BIND DNS’yi kurmanızı gerektirecektir. Varsayılan olarak, ENTER’a basmak varsayılan seçimi seçer. Bu kılavuzda, BIND DNS seçeneğini kullanmayı atlayacağız.

Ardından, sunucu ana bilgisayar adını ve etki alanı adını yapılandırın.

Ardından bölge adını ve Dizin Yöneticisi Parolasını sağlayın ve ardından IPA sunucusu yöneticisi için parolayı belirleyin.

Ardından, NetBIOS adını sağlayın. Chrony’yi NTP Sunucusu ile yapılandırıp yapılandırmamayı seçebilirsiniz. Bu tamamen size kalmış ve bizim durumumuzda Chrony’yi yapılandırmamayı seçtik.

Kısa bir süre sonra, IPA Master’ın ayrıntıları görüntülenecektir. Sistemi yapılandırmaya devam etmek için ‘ Evet ‘ yazın

Bundan sonra, komut dosyası aşağıdaki görevleri gerçekleştirmeye devam edecektir.

• Sertifika yönetimi için bağımsız bir CA (dogtag) yapılandırın
• Kerberos Anahtar Dağıtım Merkezi (KDC) oluşturun ve yapılandırın
• Bir Dizin Sunucusu örneği oluşturun ve yapılandırın
• Apache’yi yapılandırın (httpd)
• PKINIT’i etkinleştirmek için KDC’yi yapılandırın

IPA sunucusunun yapılandırması sonunda, açmanız gereken portları veya hizmetleri ve sunucunun yapılandırma ve kurulumunun başarılı olduğunu gösteren aşağıdaki çıktıyı alacaksınız.

Adım 5) FreeIPA için Güvenlik Duvarını Yapılandırın

Bu noktada, FreeIPA Sunucusu başarıyla kuruldu. Ancak, güvenlik duvarında birkaç önemli hizmete izin vermeniz gerekir. Bunlar, şu anda sunucu tarafından kullanılan hizmetlerdir.

Bu nedenle, aşağıdaki komutu çalıştırın:

$ sudo firewall-cmd --add-service={http,https,dns,ntp,freeipa-ldap,freeipa-ldaps} --permanent
$ sudo firewall-cmd --reload

Adım 6) FreeIPA Sunucusuna Erişim

Son olarak, aşağıdaki gibi bir tarayıcıda FQDN’nize göz atarak WebUI’ye erişebilirsiniz.

https://sunucucozumleri.com

Başlangıçta tarayıcınızda bir uyarı ile karşılaşacaksınız. Bunun nedeni, FreeIPA kurulumu sırasında sunucunuz için kendinden imzalı bir sertifikanın oluşturulması ve bir Sertifika Yetkilisi tarafından tanınmamasıdır.

Bu engeli atlamak için ‘ Gelişmiş ‘i tıklayın.

 

Ardından ‘ Alan adına ilerle’yi tıklayın .

Tarayıcınızda, 4. Adımda oluşturduğunuz yönetici kullanıcı adı ve şifresiyle kimlik doğrulaması yapın.

Bu, gösterildiği gibi kontrol paneline erişmenizi sağlar.

FreeIPA’yı Komut Satırında Kullanma

FreeIPA kurulumu, sunucuyla etkileşime girmenizi sağlayan bir komut satırı istemcisi sağlar. CLI’yi kullanmaya başlamadan önce, önce bir Kerberos bileti oluşturmanız gerekir.

Bir Kerberos bileti oluşturmak için şu komutu çalıştırın:

$ sudo kinit admin

Biletin sona erme bilgilerini gösterildiği gibi kontrol edebilirsiniz.

$ sudo klist

Ek olarak, yönetici kullanıcının varsayılan kabuğunu gösterildiği gibi /bin/bash olarak ayarlayabilirsiniz.

$ sudo ipa config-mod --defaultshell=/bin/bash

Ayrıca, oturum açarken yönetici kullanıcının ana dizininin oluşturulmasını etkinleştirebilirsiniz.

$ sudo authconfig --enablemkhomedir --update

Artık SSH kullanarak yönetici kullanıcı olarak oturum açmayı deneyebilirsiniz

Ayrıca aşağıdaki komutu kullanarak yeni bir kullanıcı hesabı oluşturabilirsiniz. Komut, sırasıyla adı ve soyadı Test ve Kullanıcı olmak üzere linuxtechi adında yeni bir kullanıcı oluşturur.

$ sudo ipa kullanıcı ekle linuxtechi \
  --first=Test --last=Kullanıcı \
  [email protected] --parola

FreeIPA sunucusunda oluşturulan tüm kullanıcıları listelemek için şu komutu çalıştırın:

$ sudo ipa kullanıcı bulma

 

Çıktıdan iki kullanıcının oluşturulduğunu görebilirsiniz – kurulum işlemi sırasında oluşturulan admin kullanıcı ve yeni oluşturduğumuz linuxtechi.

FreeIPA Sunucusunu Kaldırın

FreeIPA sunucusuna artık ihtiyacınız yoksa, gösterildiği gibi kaldırabilirsiniz.

$ sudo ipa-server-install --uninstall