大數據安全認證FreeIPA部署

大數據安全認證FreeIPA部署

標籤（空格分隔）： 大數據運維專欄

---

• 一：FreeIPA 介紹
• 二：FreeIPA 服務端部署
• 三：FreeIPA 客戶端部署

---

一：FreeIPA 概述

###1.1:FreeIPA的介紹

FreeIPA是一款集成的安全信息管理解決方案。FreeIPA包含Linux (Fedora),389 Directory Server MIT Kerberos, NTP, DNS, Dogtag (Certificate System)等等身份，認證和策略功能。

---

1.2 FreeIPA的用處

在未部署統一身份管理系統時，管理員需要分別在每一臺主機上爲對應的系統管理員創建、維護賬號和密碼，無法進行統一的管理。當主機數量增加到一定程度後，也將難以進行有效的安全管理，對賬號密碼泄露等問題難以進行控制。統一身份認證系統可以幫助我們解決這一問題。Windows環境下可以使用域賬號進行身份管理，而在Linux環境下，上文中我們部署的Freeipa已經提供了相關功能，可以快速、便捷的將linux系統接入，進行統一的身份認證和權限管理。

MIT KDC
IPA 認證的核心
389 Directory Server
輕量級目錄訪問
Dogtag Certificate System
一款認證系統,提供強大的安全框架來確保用戶的身份以及通訊的私密性
SSSD
SSSD是紅帽企業版Linux6中新加入的一個守護進程，該進程可以用來訪問多種驗證服務器，如LDAP，Kerberos等，並提供授權。SSSD是介於本地用戶和數據存儲之間的進程，本地客戶端首先連接SSSD，再由SSSD聯繫外部資源提供者(一臺遠程服務器)

---

二：FreeIPA 的服務端部署

2.1 環境初始化

系統：
CentOS7.8x64

CDH6.3.2 已經安裝完成

停掉httpd 服務器
關閉chronyd server freeIPA 默認用的是NTP  時間同步

首先要確保安裝FreeIPA服務的服務器主機名爲完全限定域名（FQDN），flyfish這裏使用rc07bigdata.vpc.uniondrug.com作爲 完整的域名。

---

2.2 配置FreeIPA 服務端

####2.2.1 配置rngd服務

FreeIPA安裝需要大量的隨機數運行加密操作，需要安裝rngd服務防止操作系統的熵值過低

 yum -y install rng-tools

service rngd start 
chkconfig rngd on 

service rngd status 

---

2.2.2 配置IPV6的按需支持

vim /etc/sysctl.conf
---
net.ipv6.conf.lo.disable_ipv6 = 0
net.ipv6.conf.all.disable_ipv6 = 0
net.ipv6.conf.default.disable_ipv6 = 0
----

sysctl -p 

2.2.3 配置freeIPA 服務端

安裝FreeIPA 的 依賴包
 yum -y install ipa-server ipa-server-dns bind bind-dyndb-ldap

---

2.2.4 配置帶DNS的FreeIPA 服務端

ipa-server-install --setup-dns
  域名： vpc.uniondrug.com 
  密碼：12345678

到最後

配置DNS服務器與域

vim /etc/resolv.conf
---
search vpc.uniondrug.com
nameserver 172.16.0.184
nameserver 223.5.5.5
nameserver 114.114.114.114
---

ipactl status

---

測試kerberos 是否可用
kinit admin ----> 密碼：12345678  

klist 

kadmin.local
list_principals

2.2.4 打開web 頁面：

https://rc07bigdata.vpc.uniondrug.com
 用戶名：admin
 密碼：12345678

 這個只認域名不認IP 地址 

2.2.5 創建CDH測試用戶

創建cdhadmin 賬號 密碼 爲cdhadmin

創建起來的用戶會同步到系統與Kerberos當中

---

三：freeIPA 客戶端的配置

啓用rc06bigdata.vpc.uniondrug.com 主機作爲客戶端測試

vim /etc/reslov.conf 
----
寫上DNS 地址

search vpc.uniondrug.com
nameserver 172.16.0.148
----

nslookup rc07-bigdata.yl-uniondrug.com

---

配置客戶端工具：

yum -y install freeipa-client

在命令行中執行

ipa-client-install --mkhomedir --realm=VPC.UNIONDRUG.COM --domain=vpc.uniondrug.com --server=rc07bigdata.vpc.uniondrug.com

FreeIPA 服務的用戶名：admin 密碼 12345678

客戶端rc06bigdata.vpc.uniondrug.com 主機已經注入 FreeIPA 服務器當中

---

在客戶端節點上查看cdhadmin用戶已同步