@zhangyy
2020-12-01T22:36:09.000000Z
字数 2090
阅读 250
大数据运维专栏
- 一:FreeIPA 介绍
- 二:FreeIPA 服务端部署
- 三:FreeIPA 客户端部署
FreeIPA是一款集成的安全信息管理解决方案。FreeIPA包含Linux (Fedora),389 Directory Server MIT Kerberos, NTP, DNS, Dogtag (Certificate System)等等身份,认证和策略功能。
在未部署统一身份管理系统时,管理员需要分别在每一台主机上为对应的系统管理员创建、维护账号和密码,无法进行统一的管理。当主机数量增加到一定程度后,也将难以进行有效的安全管理,对账号密码泄露等问题难以进行控制。统一身份认证系统可以帮助我们解决这一问题。Windows环境下可以使用域账号进行身份管理,而在Linux环境下,上文中我们部署的Freeipa已经提供了相关功能,可以快速、便捷的将linux系统接入,进行统一的身份认证和权限管理。
MIT KDC
IPA 认证的核心
389 Directory Server
轻量级目录访问
Dogtag Certificate System
一款认证系统,提供强大的安全框架来确保用户的身份以及通讯的私密性
SSSD
SSSD是红帽企业版Linux6中新加入的一个守护进程,该进程可以用来访问多种验证服务器,如LDAP,Kerberos等,并提供授权。SSSD是介于本地用户和数据存储之间的进程,本地客户端首先连接SSSD,再由SSSD联系外部资源提供者(一台远程服务器)
系统:
CentOS7.8x64
CDH6.3.2 已经安装完成
停掉httpd 服务器
关闭chronyd server freeIPA 默认用的是NTP 时间同步
首先要确保安装FreeIPA服务的服务器主机名为完全限定域名(FQDN),flyfish这里使用rc07bigdata.vpc.uniondrug.com作为 完整的域名。
FreeIPA安装需要大量的随机数运行加密操作,需要安装rngd服务防止操作系统的熵值过低
yum -y install rng-tools
service rngd start
chkconfig rngd on
service rngd status
vim /etc/sysctl.conf
---
net.ipv6.conf.lo.disable_ipv6 = 0
net.ipv6.conf.all.disable_ipv6 = 0
net.ipv6.conf.default.disable_ipv6 = 0
----
sysctl -p
安装FreeIPA 的 依赖包
yum -y install ipa-server ipa-server-dns bind bind-dyndb-ldap
ipa-server-install --setup-dns
域名: vpc.uniondrug.com
密码:12345678
到最后
配置DNS服务器与域
vim /etc/resolv.conf
---
search vpc.uniondrug.com
nameserver 172.16.0.184
nameserver 223.5.5.5
nameserver 114.114.114.114
---
ipactl status
测试kerberos 是否可用
kinit admin ----> 密码:12345678
klist
kadmin.local
list_principals
https://rc07bigdata.vpc.uniondrug.com
用户名:admin
密码:12345678
这个只认域名不认IP 地址
创建cdhadmin 账号 密码 为cdhadmin
创建起来的用户会同步到系统与Kerberos当中
启用rc06bigdata.vpc.uniondrug.com 主机作为客户端测试
vim /etc/reslov.conf
----
写上DNS 地址
search vpc.uniondrug.com
nameserver 172.16.0.148
----
nslookup rc07-bigdata.yl-uniondrug.com
配置客户端工具:
yum -y install freeipa-client
在命令行中执行
ipa-client-install --mkhomedir --realm=VPC.UNIONDRUG.COM --domain=vpc.uniondrug.com --server=rc07bigdata.vpc.uniondrug.com
FreeIPA 服务的用户名:admin 密码 12345678
客户端rc06bigdata.vpc.uniondrug.com 主机已经注入 FreeIPA 服务器当中
在客户端节点上查看cdhadmin用户已同步