大数据安全认证FreeIPA部署

时间  2021-01-17
标签 linux web vim 安全 服务器 框架 运维 dom ide 工具 栏目 系统安全 繁體版
原文   原文链接

大数据安全认证FreeIPA部署

标签(空格分隔): 大数据运维专栏linux

  • 一:FreeIPA 介绍
  • 二:FreeIPA 服务端部署
  • 三:FreeIPA 客户端部署

一:FreeIPA 概述

###1.1:FreeIPA的介绍web

FreeIPA是一款集成的安全信息管理解决方案。FreeIPA包含Linux (Fedora),389 Directory Server MIT Kerberos, NTP, DNS, Dogtag (Certificate System)等等身份,认证和策略功能。

1.2 FreeIPA的用处

在未部署统一身份管理系统时,管理员须要分别在每一台主机上为对应的系统管理员建立、维护帐号和密码,没法进行统一的管理。当主机数量增长到必定程度后,也将难以进行有效的安全管理,对帐号密码泄露等问题难以进行控制。统一身份认证系统能够帮助咱们解决这一问题。Windows环境下能够使用域帐号进行身份管理,而在Linux环境下,上文中咱们部署的Freeipa已经提供了相关功能,能够快速、便捷的将linux系统接入,进行统一的身份认证和权限管理。

MIT KDC
IPA 认证的核心
389 Directory Server
轻量级目录访问
Dogtag Certificate System
一款认证系统,提供强大的安全框架来确保用户的身份以及通信的私密性
SSSD
SSSD是红帽企业版Linux6中新加入的一个守护进程,该进程能够用来访问多种验证服务器,如LDAP,Kerberos等,并提供受权。SSSD是介于本地用户和数据存储之间的进程,本地客户端首先链接SSSD,再由SSSD联系外部资源提供者(一台远程服务器)

二:FreeIPA 的服务端部署

2.1 环境初始化

系统:
CentOS7.8x64

CDH6.3.2 已经安装完成

停掉httpd 服务器
关闭chronyd server freeIPA 默认用的是NTP  时间同步

首先要确保安装FreeIPA服务的服务器主机名为彻底限定域名(FQDN),flyfish这里使用rc07bigdata.vpc.uniondrug.com做为 完整的域名。

2.2 配置FreeIPA 服务端

####2.2.1 配置rngd服务vim

FreeIPA安装须要大量的随机数运行加密操做,须要安装rngd服务防止操做系统的熵值太低

 yum -y install rng-tools

service rngd start 
chkconfig rngd on 

service rngd status

image_1eh1ldf6o1bbf33m1jja1tr61c8b9.png-129.4kB

image_1eh1ldt0f1mi2g5a108o6gqtlfm.png-158.7kB

2.2.2 配置IPV6的按需支持

vim /etc/sysctl.conf
---
net.ipv6.conf.lo.disable_ipv6 = 0
net.ipv6.conf.all.disable_ipv6 = 0
net.ipv6.conf.default.disable_ipv6 = 0
----

sysctl -p

image_1eh1lfdipns912iu128paptpve13.png-124.9kB

image_1eh1lftr314f47bm56n1hjsvbg1g.png-91.5kB

2.2.3 配置freeIPA 服务端

安装FreeIPA 的 依赖包
 yum -y install ipa-server ipa-server-dns bind bind-dyndb-ldap

image_1eh1lltk0m3bgi31oos15lf7gr1t.png-124.2kB

2.2.4 配置带DNS的FreeIPA 服务端

ipa-server-install --setup-dns
  域名: vpc.uniondrug.com 
  密码:12345678

image_1eh1lmp9rpkut381lqo1vi353m2a.png-133.9kB

image_1eh1m3pm3bsodsjplgjn96c2n.png-229.5kB

image_1eh1m553f18eo1v1c1lerkf81n4534.png-209.1kB

到最后

image_1eh1m5t921hhl1cnk1kqu1vgc1sdr3h.png-101.8kB

配置DNS服务器与域

vim /etc/resolv.conf
---
search vpc.uniondrug.com
nameserver 172.16.0.184
nameserver 223.5.5.5
nameserver 114.114.114.114
---

image_1eh1m9eqb1rpe1m7ueav1n44bnd3u.png-35.6kB

ipactl status

image_1eh1ma2vj1rl2hee151avte16c64b.png-71.1kB

测试kerberos 是否可用
kinit admin ----> 密码:12345678  

klist 

kadmin.local
list_principals

image_1eh1mativqdn1al28v924bc74o.png-88kB

image_1eh1mbfvu132dvrt72f1po41afe55.png-147.5kB

2.2.4 打开web 页面:

https://rc07bigdata.vpc.uniondrug.com
 用户名:admin
 密码:12345678

 这个只认域名不认IP 地址

image_1eh1me5h71uuq8vjs12113v3ep5v.png-197kB

image_1eh1mft7e16rh5bg741fut9d26c.png-240.7kB

2.2.5 建立CDH测试用户

建立cdhadmin 帐号 密码 为cdhadmin

image_1egihej8s58uoqle631k8u7k16p.png-278.4kB

image_1egihg39psre1hf11sms1vr51p5376.png-189.7kB

image_1egihib3pppl5nl1ttacu91g7e80.png-213.9kB

image_1egihj3e31e7g14n41rq6ona16e8d.png-221kB

image_1egihjt3gl4m158tnh81l53k2v8q.png-198.8kB

建立起来的用户会同步到系统与Kerberos当中

image_1eh1mi4ip1ec19m4sq0lko1p846p.png-125.5kB

三:freeIPA 客户端的配置

启用rc06bigdata.vpc.uniondrug.com 主机做为客户端测试

vim /etc/reslov.conf 
----
写上DNS 地址

search vpc.uniondrug.com
nameserver 172.16.0.148
----

nslookup rc07-bigdata.yl-uniondrug.com

image_1eh1mnved1m4v4uuu7tc1d8kv76.png-86.5kB

配置客户端工具:

yum -y install freeipa-client

image_1eh1mqb6j16uc1ldh1aan3kq14637j.png-298kB

在命令行中执行

ipa-client-install --mkhomedir --realm=VPC.UNIONDRUG.COM --domain=vpc.uniondrug.com --server=rc07bigdata.vpc.uniondrug.com

FreeIPA 服务的用户名:admin 密码 12345678

image_1eh1msa4hg2mc69h3vdfu1efr80.png-228.6kB

客户端rc06bigdata.vpc.uniondrug.com 主机已经注入 FreeIPA 服务器当中

image_1eh1mus3te7kike1r5e18dj1t3k8t.png-254.8kB

在客户端节点上查看cdhadmin用户已同步

image_1eh1mvbua1et41krv54v14421ac79a.png-41.2kB

image_1eh1n3rr353r139r1lnrrp2hu19n.png-120.6kB

相关文章
相关标签/搜索
每日一句
    每一个你不满意的现在,都有一个你没有努力的曾经。
本站公众号
   欢迎关注本站公众号,获取更多信息
联系我们 最近搜索 最新文章 沪ICP备13005482号-10 MyBatis教程 SQL 教程 MySQL教程 Java 教程 Thymeleaf 教程 Hibernate教程 Spring教程 Redis教程