[关闭]
@zhangyy 2020-12-01T22:36:09.000000Z 字数 2090 阅读 250

大数据安全认证FreeIPA部署

大数据运维专栏


  • 一:FreeIPA 介绍
  • 二:FreeIPA 服务端部署
  • 三:FreeIPA 客户端部署

一:FreeIPA 概述

1.1:FreeIPA的介绍

  1. FreeIPA是一款集成的安全信息管理解决方案。FreeIPA包含Linux (Fedora),389 Directory Server MIT Kerberos, NTP, DNS, Dogtag (Certificate System)等等身份,认证和策略功能。

1.2 FreeIPA的用处

  1. 在未部署统一身份管理系统时,管理员需要分别在每一台主机上为对应的系统管理员创建、维护账号和密码,无法进行统一的管理。当主机数量增加到一定程度后,也将难以进行有效的安全管理,对账号密码泄露等问题难以进行控制。统一身份认证系统可以帮助我们解决这一问题。Windows环境下可以使用域账号进行身份管理,而在Linux环境下,上文中我们部署的Freeipa已经提供了相关功能,可以快速、便捷的将linux系统接入,进行统一的身份认证和权限管理。
  2. MIT KDC
  3. IPA 认证的核心
  4. 389 Directory Server
  5. 轻量级目录访问
  6. Dogtag Certificate System
  7. 一款认证系统,提供强大的安全框架来确保用户的身份以及通讯的私密性
  8. SSSD
  9. SSSD是红帽企业版Linux6中新加入的一个守护进程,该进程可以用来访问多种验证服务器,如LDAPKerberos等,并提供授权。SSSD是介于本地用户和数据存储之间的进程,本地客户端首先连接SSSD,再由SSSD联系外部资源提供者(一台远程服务器)

二:FreeIPA 的服务端部署

2.1 环境初始化

  1. 系统:
  2. CentOS7.8x64
  3. CDH6.3.2 已经安装完成
  4. 停掉httpd 服务器
  5. 关闭chronyd server freeIPA 默认用的是NTP 时间同步
  6. 首先要确保安装FreeIPA服务的服务器主机名为完全限定域名(FQDN),flyfish这里使用rc07bigdata.vpc.uniondrug.com作为 完整的域名。

2.2 配置FreeIPA 服务端

2.2.1 配置rngd服务

  1. FreeIPA安装需要大量的随机数运行加密操作,需要安装rngd服务防止操作系统的熵值过低
  2. yum -y install rng-tools
  3. service rngd start
  4. chkconfig rngd on
  5. service rngd status

image_1eh1ldf6o1bbf33m1jja1tr61c8b9.png-129.4kB

image_1eh1ldt0f1mi2g5a108o6gqtlfm.png-158.7kB


2.2.2 配置IPV6的按需支持

  1. vim /etc/sysctl.conf
  2. ---
  3. net.ipv6.conf.lo.disable_ipv6 = 0
  4. net.ipv6.conf.all.disable_ipv6 = 0
  5. net.ipv6.conf.default.disable_ipv6 = 0
  6. ----
  7. sysctl -p

image_1eh1lfdipns912iu128paptpve13.png-124.9kB

image_1eh1lftr314f47bm56n1hjsvbg1g.png-91.5kB

2.2.3 配置freeIPA 服务端

  1. 安装FreeIPA 依赖包
  2. yum -y install ipa-server ipa-server-dns bind bind-dyndb-ldap

image_1eh1lltk0m3bgi31oos15lf7gr1t.png-124.2kB


2.2.4 配置带DNS的FreeIPA 服务端

  1. ipa-server-install --setup-dns
  2. 域名: vpc.uniondrug.com
  3. 密码:12345678

image_1eh1lmp9rpkut381lqo1vi353m2a.png-133.9kB

image_1eh1m3pm3bsodsjplgjn96c2n.png-229.5kB

image_1eh1m553f18eo1v1c1lerkf81n4534.png-209.1kB

  1. 到最后

image_1eh1m5t921hhl1cnk1kqu1vgc1sdr3h.png-101.8kB

  1. 配置DNS服务器与域
  2. vim /etc/resolv.conf
  3. ---
  4. search vpc.uniondrug.com
  5. nameserver 172.16.0.184
  6. nameserver 223.5.5.5
  7. nameserver 114.114.114.114
  8. ---

image_1eh1m9eqb1rpe1m7ueav1n44bnd3u.png-35.6kB

  1. ipactl status

image_1eh1ma2vj1rl2hee151avte16c64b.png-71.1kB


  1. 测试kerberos 是否可用
  2. kinit admin ----> 密码:12345678
  3. klist
  4. kadmin.local
  5. list_principals

image_1eh1mativqdn1al28v924bc74o.png-88kB

image_1eh1mbfvu132dvrt72f1po41afe55.png-147.5kB

2.2.4 打开web 页面:

  1. https://rc07bigdata.vpc.uniondrug.com
  2. 用户名:admin
  3. 密码:12345678
  4. 这个只认域名不认IP 地址

image_1eh1me5h71uuq8vjs12113v3ep5v.png-197kB

image_1eh1mft7e16rh5bg741fut9d26c.png-240.7kB

2.2.5 创建CDH测试用户

  1. 创建cdhadmin 账号 密码 cdhadmin

image_1egihej8s58uoqle631k8u7k16p.png-278.4kB

image_1egihg39psre1hf11sms1vr51p5376.png-189.7kB

image_1egihib3pppl5nl1ttacu91g7e80.png-213.9kB

image_1egihj3e31e7g14n41rq6ona16e8d.png-221kB

image_1egihjt3gl4m158tnh81l53k2v8q.png-198.8kB

  1. 创建起来的用户会同步到系统与Kerberos当中

image_1eh1mi4ip1ec19m4sq0lko1p846p.png-125.5kB


三:freeIPA 客户端的配置

  1. 启用rc06bigdata.vpc.uniondrug.com 主机作为客户端测试
  2. vim /etc/reslov.conf
  3. ----
  4. 写上DNS 地址
  5. search vpc.uniondrug.com
  6. nameserver 172.16.0.148
  7. ----
  8. nslookup rc07-bigdata.yl-uniondrug.com

image_1eh1mnved1m4v4uuu7tc1d8kv76.png-86.5kB


  1. 配置客户端工具:
  2. yum -y install freeipa-client

image_1eh1mqb6j16uc1ldh1aan3kq14637j.png-298kB

  1. 在命令行中执行
  2. ipa-client-install --mkhomedir --realm=VPC.UNIONDRUG.COM --domain=vpc.uniondrug.com --server=rc07bigdata.vpc.uniondrug.com
  3. FreeIPA 服务的用户名:admin 密码 12345678

image_1eh1msa4hg2mc69h3vdfu1efr80.png-228.6kB

  1. 客户端rc06bigdata.vpc.uniondrug.com 主机已经注入 FreeIPA 服务器当中

image_1eh1mus3te7kike1r5e18dj1t3k8t.png-254.8kB


  1. 在客户端节点上查看cdhadmin用户已同步

image_1eh1mvbua1et41krv54v14421ac79a.png-41.2kB

image_1eh1n3rr353r139r1lnrrp2hu19n.png-120.6kB

添加新批注
在作者公开此批注前,只有你和作者可见。
回复批注