@zhangyy 2020-12-01T14:36:09.000000Z 字数 2090 阅读 644

大数据安全认证FreeIPA部署

大数据运维专栏

一：FreeIPA 介绍

二：FreeIPA 服务端部署

三：FreeIPA 客户端部署

一：FreeIPA 概述

1.1:FreeIPA的介绍

FreeIPA是一款集成的安全信息管理解决方案。FreeIPA包含Linux (Fedora),389 Directory Server MIT Kerberos, NTP, DNS, Dogtag (Certificate System)等等身份，认证和策略功能。

1.2 FreeIPA的用处

在未部署统一身份管理系统时，管理员需要分别在每一台主机上为对应的系统管理员创建、维护账号和密码，无法进行统一的管理。当主机数量增加到一定程度后，也将难以进行有效的安全管理，对账号密码泄露等问题难以进行控制。统一身份认证系统可以帮助我们解决这一问题。Windows环境下可以使用域账号进行身份管理，而在Linux环境下，上文中我们部署的Freeipa已经提供了相关功能，可以快速、便捷的将linux系统接入，进行统一的身份认证和权限管理。
MIT KDC
IPA 认证的核心
389 Directory Server
轻量级目录访问
Dogtag Certificate System
一款认证系统,提供强大的安全框架来确保用户的身份以及通讯的私密性
SSSD
SSSD是红帽企业版Linux6中新加入的一个守护进程，该进程可以用来访问多种验证服务器，如LDAP，Kerberos等，并提供授权。SSSD是介于本地用户和数据存储之间的进程，本地客户端首先连接SSSD，再由SSSD联系外部资源提供者(一台远程服务器)

二：FreeIPA 的服务端部署

2.1 环境初始化

系统：
CentOS7.8x64
CDH6.3.2 已经安装完成
停掉httpd 服务器
关闭chronyd server freeIPA 默认用的是NTP  时间同步
首先要确保安装FreeIPA服务的服务器主机名为完全限定域名（FQDN），flyfish这里使用rc07bigdata.vpc.uniondrug.com作为 完整的域名。

2.2 配置FreeIPA 服务端

2.2.1 配置rngd服务

FreeIPA安装需要大量的随机数运行加密操作，需要安装rngd服务防止操作系统的熵值过低
 yum -y install rng-tools
service rngd start 
chkconfig rngd on 
service rngd status

image_1eh1ldf6o1bbf33m1jja1tr61c8b9.png-129.4kB

image_1eh1ldt0f1mi2g5a108o6gqtlfm.png-158.7kB

2.2.2 配置IPV6的按需支持

vim /etc/sysctl.conf
---
net.ipv6.conf.lo.disable_ipv6 = 0
net.ipv6.conf.all.disable_ipv6 = 0
net.ipv6.conf.default.disable_ipv6 = 0
----
sysctl -p

image_1eh1lfdipns912iu128paptpve13.png-124.9kB

image_1eh1lftr314f47bm56n1hjsvbg1g.png-91.5kB

2.2.3 配置freeIPA 服务端

安装FreeIPA 的 依赖包
 yum -y install ipa-server ipa-server-dns bind bind-dyndb-ldap

image_1eh1lltk0m3bgi31oos15lf7gr1t.png-124.2kB

2.2.4 配置带DNS的FreeIPA 服务端

ipa-server-install --setup-dns
  域名： vpc.uniondrug.com 
  密码：12345678

image_1eh1lmp9rpkut381lqo1vi353m2a.png-133.9kB

image_1eh1m3pm3bsodsjplgjn96c2n.png-229.5kB

image_1eh1m553f18eo1v1c1lerkf81n4534.png-209.1kB

到最后

image_1eh1m5t921hhl1cnk1kqu1vgc1sdr3h.png-101.8kB

配置DNS服务器与域
vim /etc/resolv.conf
---
search vpc.uniondrug.com
nameserver 172.16.0.184
nameserver 223.5.5.5
nameserver 114.114.114.114
---

image_1eh1m9eqb1rpe1m7ueav1n44bnd3u.png-35.6kB

ipactl status

image_1eh1ma2vj1rl2hee151avte16c64b.png-71.1kB

测试kerberos 是否可用
kinit admin ----> 密码：12345678  
klist 
kadmin.local
list_principals

image_1eh1mativqdn1al28v924bc74o.png-88kB

image_1eh1mbfvu132dvrt72f1po41afe55.png-147.5kB

2.2.4 打开web 页面：

https://rc07bigdata.vpc.uniondrug.com
 用户名：admin
 密码：12345678
 这个只认域名不认IP 地址

image_1eh1me5h71uuq8vjs12113v3ep5v.png-197kB

2.2.5 创建CDH测试用户

创建cdhadmin 账号 密码 为cdhadmin

image_1egihej8s58uoqle631k8u7k16p.png-278.4kB

image_1egihg39psre1hf11sms1vr51p5376.png-189.7kB

image_1egihib3pppl5nl1ttacu91g7e80.png-213.9kB

image_1egihj3e31e7g14n41rq6ona16e8d.png-221kB

image_1egihjt3gl4m158tnh81l53k2v8q.png-198.8kB

创建起来的用户会同步到系统与Kerberos当中

image_1eh1mi4ip1ec19m4sq0lko1p846p.png-125.5kB

三：freeIPA 客户端的配置

启用rc06bigdata.vpc.uniondrug.com 主机作为客户端测试
vim /etc/reslov.conf 
----
写上DNS 地址
search vpc.uniondrug.com
nameserver 172.16.0.148
----
nslookup rc07-bigdata.yl-uniondrug.com

image_1eh1mnved1m4v4uuu7tc1d8kv76.png-86.5kB

配置客户端工具：
yum -y install freeipa-client

image_1eh1mqb6j16uc1ldh1aan3kq14637j.png-298kB

在命令行中执行
ipa-client-install --mkhomedir --realm=VPC.UNIONDRUG.COM --domain=vpc.uniondrug.com --server=rc07bigdata.vpc.uniondrug.com
FreeIPA 服务的用户名：admin 密码 12345678

image_1eh1msa4hg2mc69h3vdfu1efr80.png-228.6kB

客户端rc06bigdata.vpc.uniondrug.com 主机已经注入 FreeIPA 服务器当中

image_1eh1mus3te7kike1r5e18dj1t3k8t.png-254.8kB

在客户端节点上查看cdhadmin用户已同步

image_1eh1mvbua1et41krv54v14421ac79a.png-41.2kB

image_1eh1n3rr353r139r1lnrrp2hu19n.png-120.6kB