Bu kılavuzda, adım adım FreeIPA sunucusunun RHEL 9’a nasıl kurulacağını göstereceğiz.
RedHat sponsorluğunda, FreeIPA , – Identity Policy Authentication – özellikle Linux/Unix ortamları için tasarlanmış ücretsiz ve açık kaynaklı bir kimlik ve Kimlik Doğrulama yönetimi çözümüdür. Windows için Active Directory ne ise, FreeIPA Linux için odur.
FreeIPA, bir Linux ortamında kullanıcı hesaplarının kimlik doğrulaması ve yetkilendirilmesi için merkezi bir çözüm sunar. RedHat’ın IdM’sinin (Identity Manager) Yukarı Akışıdır ve aşağıdaki açık kaynak bileşenlerinin üzerine inşa edilmiştir:
NTP Sunucusu – Ağ Zaman Protokolü Sunucusu
Apache HTTP Sunucusu – FreeIPA’ya Web tarayıcısından erişmenize ve bunları yönetmenize izin veren bir web sunucusu.
389 Dizin Sunucusu – Bu, bir LDAP uygulamasıdır ve tam bir çok yöneticili LDAPv3 dizin altyapısı sağlayan ana veri deposudur.
Dogtag PKI Sertifika Yetkilisi – CA sertifika yönetimi işlevleri sağlar.
MIT Kerberos KDC – Bu, Tek Oturum Açma kimlik doğrulaması için bir Kerberos veritabanı ve hizmeti sağlar.
Başlamak için, dikkat etmeniz gereken ön koşullardan bazıları şunlardır:
RHEL 9 Server’ın yeni kurulumu
En az 4 GB RAM
En az 2 vCPU
Minimum 10 GB sabit disk alanı.
Red Hat Aboneliği veya yerel olarak yapılandırılmış yum deposu.
Sunucunuzun Genel IP adresini gösteren bir FQDN (Tam Nitelikli Etki Alanı Adı). Bu kılavuz için, sunucunun genel IP’si 74.207.228.169’a işaret eden linuxtechwhiz.info adlı kayıtlı bir etki alanı kullanıyoruz.
443 ve 80 numaralı bağlantı noktaları başka bir uygulama tarafından kullanılmamalıdır
Adım 1) Ana bilgisayar adını yapılandırın ve /etc/hosts dosyasını güncelleyin
Başlamak için sunucunuzun ana bilgisayar adını FQDN’ye karşılık gelecek şekilde yapılandırmanız gerekir. Ana bilgisayar adını değiştirmek için aşağıdaki sözdizimini kullanın:
$ sudo hostnamectl set-hostname sizin-ana bilgisayar adınız
Ana bilgisayar adı değişikliğini onaylamak için şu komutu çalıştırın:
$ hostname
Ardından, /etc/hosts dosyasına erişin.
$ sudo vim /etc/hosts
FQDN’niz için gösterildiği gibi bir giriş ekleyin
sunucu-kamu-ip fqdn.example.com
Bizim durumumuzda, bu olacak:
127.0.0.1 sunucucozumleri.com
Değişiklikleri kaydedin ve çıkın.
Ardından, ana bilgisayar adı olarak da yapılandırılan kayıtlı etki alanının, sunucunun genel IP’sine çözümlendiğini onaylayın. Bunu alan adına ping atarak yapabilirsiniz.
$ ping -c 4 sunucucozumleri.com
Adım 2) SELinux’u yapılandırın
Ardından, bir tarayıcıdan FreeIPA sunucusuna erişmek için SELinux’u yapılandırmanız gerekir. Burada SELinux’u ‘ permissive ‘ moduna ayarlayacağız.
Bunu yapmak için aşağıdaki komutları çalıştırın:
$ sudo setenforce 0
$ sudo sed -i 's/^SELINUX=.*/SELINUX=permissive/g' /etc/selinux/config
SELinux durumundaki değişikliği onaylamak için şu komutu çalıştırın:
$ sestatus
Ardından, değişikliklerin yürürlüğe girmesi için sistemi yeniden başlatın.
FreeIPA Sunucusunun kurulumu, FreeIPA sunucusunun çeşitli bileşenlerinin konfigürasyonunu otomatikleştiren basit bir komut dosyası kullanılarak basitleştirilmiştir.
Sunucu kurulumuna başlamak için aşağıdaki betiği çalıştırın,
$ sudo ipa-server-install
Komut dosyası, bir dizi istemde size yol gösterir. İlk istem, entegre BIND DNS’yi kurmanızı gerektirecektir. Varsayılan olarak, ENTER’a basmak varsayılan seçimi seçer. Bu kılavuzda, BIND DNS seçeneğini kullanmayı atlayacağız.
Ardından, sunucu ana bilgisayar adını ve etki alanı adını yapılandırın.
Ardından bölge adını ve Dizin Yöneticisi Parolasını sağlayın ve ardından IPA sunucusu yöneticisi için parolayı belirleyin.
Ardından, NetBIOS adını sağlayın. Chrony’yi NTP Sunucusu ile yapılandırıp yapılandırmamayı seçebilirsiniz. Bu tamamen size kalmış ve bizim durumumuzda Chrony’yi yapılandırmamayı seçtik.
Kısa bir süre sonra, IPA Master’ın ayrıntıları görüntülenecektir. Sistemi yapılandırmaya devam etmek için ‘ Evet ‘ yazın
Bundan sonra, komut dosyası aşağıdaki görevleri gerçekleştirmeye devam edecektir.
Sertifika yönetimi için bağımsız bir CA (dogtag) yapılandırın
Kerberos Anahtar Dağıtım Merkezi (KDC) oluşturun ve yapılandırın
Bir Dizin Sunucusu örneği oluşturun ve yapılandırın
Apache’yi yapılandırın (httpd)
PKINIT’i etkinleştirmek için KDC’yi yapılandırın
IPA sunucusunun yapılandırması sonunda, açmanız gereken portları veya hizmetleri ve sunucunun yapılandırma ve kurulumunun başarılı olduğunu gösteren aşağıdaki çıktıyı alacaksınız.
Adım 5) FreeIPA için Güvenlik Duvarını Yapılandırın
Bu noktada, FreeIPA Sunucusu başarıyla kuruldu. Ancak, güvenlik duvarında birkaç önemli hizmete izin vermeniz gerekir. Bunlar, şu anda sunucu tarafından kullanılan hizmetlerdir.
Başlangıçta tarayıcınızda bir uyarı ile karşılaşacaksınız. Bunun nedeni, FreeIPA kurulumu sırasında sunucunuz için kendinden imzalı bir sertifikanın oluşturulması ve bir Sertifika Yetkilisi tarafından tanınmamasıdır.
Bu engeli atlamak için ‘ Gelişmiş ‘i tıklayın.
Ardından ‘ Alan adına ilerle’yi tıklayın .
Tarayıcınızda, 4. Adımda oluşturduğunuz yönetici kullanıcı adı ve şifresiyle kimlik doğrulaması yapın.
Bu, gösterildiği gibi kontrol paneline erişmenizi sağlar.
FreeIPA’yı Komut Satırında Kullanma
FreeIPA kurulumu, sunucuyla etkileşime girmenizi sağlayan bir komut satırı istemcisi sağlar. CLI’yi kullanmaya başlamadan önce, önce bir Kerberos bileti oluşturmanız gerekir.
Bir Kerberos bileti oluşturmak için şu komutu çalıştırın:
$ sudo kinit admin
Biletin sona erme bilgilerini gösterildiği gibi kontrol edebilirsiniz.
$ sudo klist
Ek olarak, yönetici kullanıcının varsayılan kabuğunu gösterildiği gibi /bin/bash olarak ayarlayabilirsiniz.
$ sudo ipa config-mod --defaultshell=/bin/bash
Ayrıca, oturum açarken yönetici kullanıcının ana dizininin oluşturulmasını etkinleştirebilirsiniz.
$ sudo authconfig --enablemkhomedir --update
Artık SSH kullanarak yönetici kullanıcı olarak oturum açmayı deneyebilirsiniz
Ayrıca aşağıdaki komutu kullanarak yeni bir kullanıcı hesabı oluşturabilirsiniz. Komut, sırasıyla adı ve soyadı Test ve Kullanıcı olmak üzere linuxtechi adında yeni bir kullanıcı oluşturur.
FreeIPA Sunucusu RHEL 9’a Nasıl Kurulur?
Bu kılavuzda, adım adım FreeIPA sunucusunun RHEL 9’a nasıl kurulacağını göstereceğiz.
RedHat sponsorluğunda, FreeIPA , – Identity Policy Authentication – özellikle Linux/Unix ortamları için tasarlanmış ücretsiz ve açık kaynaklı bir kimlik ve Kimlik Doğrulama yönetimi çözümüdür. Windows için Active Directory ne ise, FreeIPA Linux için odur.
FreeIPA, bir Linux ortamında kullanıcı hesaplarının kimlik doğrulaması ve yetkilendirilmesi için merkezi bir çözüm sunar. RedHat’ın IdM’sinin (Identity Manager) Yukarı Akışıdır ve aşağıdaki açık kaynak bileşenlerinin üzerine inşa edilmiştir:
Makale İçeriği
Önkoşullar
Başlamak için, dikkat etmeniz gereken ön koşullardan bazıları şunlardır:
Adım 1) Ana bilgisayar adını yapılandırın ve /etc/hosts dosyasını güncelleyin
Başlamak için sunucunuzun ana bilgisayar adını FQDN’ye karşılık gelecek şekilde yapılandırmanız gerekir. Ana bilgisayar adını değiştirmek için aşağıdaki sözdizimini kullanın:
$ sudo hostnamectl set-hostname sizin-ana bilgisayar adınız
Bizim durumumuzda, komut şöyle olacaktır:
Ana bilgisayar adı değişikliğini onaylamak için şu komutu çalıştırın:
Ardından, /etc/hosts dosyasına erişin.
FQDN’niz için gösterildiği gibi bir giriş ekleyin
sunucu-kamu-ip fqdn.example.com
Bizim durumumuzda, bu olacak:
Değişiklikleri kaydedin ve çıkın.
Ardından, ana bilgisayar adı olarak da yapılandırılan kayıtlı etki alanının, sunucunun genel IP’sine çözümlendiğini onaylayın. Bunu alan adına ping atarak yapabilirsiniz.
Adım 2) SELinux’u yapılandırın
Ardından, bir tarayıcıdan FreeIPA sunucusuna erişmek için SELinux’u yapılandırmanız gerekir. Burada SELinux’u ‘ permissive ‘ moduna ayarlayacağız.
Bunu yapmak için aşağıdaki komutları çalıştırın:
SELinux durumundaki değişikliği onaylamak için şu komutu çalıştırın:
Adım 3) FreeIPA Sunucusunu RHEL 9’a kurun
FreeIPA sunucusunu sisteminize kurmak için şu komutu çalıştırın:
Bu, bir dizi FreeIPA paketi ve bir dizi başka ek paket kurar.
FreeIPA DNS Sunucusunu kurmak istiyorsanız, devam edin ve gösterildiği gibi DNS paketlerini kurun.
Adım 4) FreeIPA Sunucusunu Kurun
FreeIPA Sunucusunun kurulumu, FreeIPA sunucusunun çeşitli bileşenlerinin konfigürasyonunu otomatikleştiren basit bir komut dosyası kullanılarak basitleştirilmiştir.
Sunucu kurulumuna başlamak için aşağıdaki betiği çalıştırın,
Komut dosyası, bir dizi istemde size yol gösterir. İlk istem, entegre BIND DNS’yi kurmanızı gerektirecektir. Varsayılan olarak, ENTER’a basmak varsayılan seçimi seçer. Bu kılavuzda, BIND DNS seçeneğini kullanmayı atlayacağız.
Ardından, sunucu ana bilgisayar adını ve etki alanı adını yapılandırın.
Ardından bölge adını ve Dizin Yöneticisi Parolasını sağlayın ve ardından IPA sunucusu yöneticisi için parolayı belirleyin.
Ardından, NetBIOS adını sağlayın. Chrony’yi NTP Sunucusu ile yapılandırıp yapılandırmamayı seçebilirsiniz. Bu tamamen size kalmış ve bizim durumumuzda Chrony’yi yapılandırmamayı seçtik.
Kısa bir süre sonra, IPA Master’ın ayrıntıları görüntülenecektir. Sistemi yapılandırmaya devam etmek için ‘ Evet ‘ yazın
Bundan sonra, komut dosyası aşağıdaki görevleri gerçekleştirmeye devam edecektir.
IPA sunucusunun yapılandırması sonunda, açmanız gereken portları veya hizmetleri ve sunucunun yapılandırma ve kurulumunun başarılı olduğunu gösteren aşağıdaki çıktıyı alacaksınız.
Adım 5) FreeIPA için Güvenlik Duvarını Yapılandırın
Bu noktada, FreeIPA Sunucusu başarıyla kuruldu. Ancak, güvenlik duvarında birkaç önemli hizmete izin vermeniz gerekir. Bunlar, şu anda sunucu tarafından kullanılan hizmetlerdir.
Bu nedenle, aşağıdaki komutu çalıştırın:
$ sudo firewall-cmd --add-service={http,https,dns,ntp,freeipa-ldap,freeipa-ldaps} --permanent $ sudo firewall-cmd --reloadAdım 6) FreeIPA Sunucusuna Erişim
Son olarak, aşağıdaki gibi bir tarayıcıda FQDN’nize göz atarak WebUI’ye erişebilirsiniz.
Başlangıçta tarayıcınızda bir uyarı ile karşılaşacaksınız. Bunun nedeni, FreeIPA kurulumu sırasında sunucunuz için kendinden imzalı bir sertifikanın oluşturulması ve bir Sertifika Yetkilisi tarafından tanınmamasıdır.
Bu engeli atlamak için ‘ Gelişmiş ‘i tıklayın.
Ardından ‘ Alan adına ilerle’yi tıklayın .
Tarayıcınızda, 4. Adımda oluşturduğunuz yönetici kullanıcı adı ve şifresiyle kimlik doğrulaması yapın.
Bu, gösterildiği gibi kontrol paneline erişmenizi sağlar.
FreeIPA’yı Komut Satırında Kullanma
FreeIPA kurulumu, sunucuyla etkileşime girmenizi sağlayan bir komut satırı istemcisi sağlar. CLI’yi kullanmaya başlamadan önce, önce bir Kerberos bileti oluşturmanız gerekir.
Bir Kerberos bileti oluşturmak için şu komutu çalıştırın:
Biletin sona erme bilgilerini gösterildiği gibi kontrol edebilirsiniz.
Ek olarak, yönetici kullanıcının varsayılan kabuğunu gösterildiği gibi /bin/bash olarak ayarlayabilirsiniz.
Ayrıca, oturum açarken yönetici kullanıcının ana dizininin oluşturulmasını etkinleştirebilirsiniz.
Artık SSH kullanarak yönetici kullanıcı olarak oturum açmayı deneyebilirsiniz
Ayrıca aşağıdaki komutu kullanarak yeni bir kullanıcı hesabı oluşturabilirsiniz. Komut, sırasıyla adı ve soyadı Test ve Kullanıcı olmak üzere linuxtechi adında yeni bir kullanıcı oluşturur.
FreeIPA sunucusunda oluşturulan tüm kullanıcıları listelemek için şu komutu çalıştırın:
$ sudo ipa kullanıcı bulma
Çıktıdan iki kullanıcının oluşturulduğunu görebilirsiniz – kurulum işlemi sırasında oluşturulan admin kullanıcı ve yeni oluşturduğumuz linuxtechi.
FreeIPA Sunucusunu Kaldırın
FreeIPA sunucusuna artık ihtiyacınız yoksa, gösterildiği gibi kaldırabilirsiniz.