大數據安全認證FreeIPA部署
標籤(空格分隔): 大數據運維專欄
- 一:FreeIPA 介紹
- 二:FreeIPA 服務端部署
- 三:FreeIPA 客戶端部署
一:FreeIPA 概述
###1.1:FreeIPA的介紹
FreeIPA是一款集成的安全信息管理解決方案。FreeIPA包含Linux (Fedora),389 Directory Server MIT Kerberos, NTP, DNS, Dogtag (Certificate System)等等身份,認證和策略功能。
1.2 FreeIPA的用處
在未部署統一身份管理系統時,管理員需要分別在每一臺主機上爲對應的系統管理員創建、維護賬號和密碼,無法進行統一的管理。當主機數量增加到一定程度後,也將難以進行有效的安全管理,對賬號密碼泄露等問題難以進行控制。統一身份認證系統可以幫助我們解決這一問題。Windows環境下可以使用域賬號進行身份管理,而在Linux環境下,上文中我們部署的Freeipa已經提供了相關功能,可以快速、便捷的將linux系統接入,進行統一的身份認證和權限管理。
MIT KDC
IPA 認證的核心
389 Directory Server
輕量級目錄訪問
Dogtag Certificate System
一款認證系統,提供強大的安全框架來確保用戶的身份以及通訊的私密性
SSSD
SSSD是紅帽企業版Linux6中新加入的一個守護進程,該進程可以用來訪問多種驗證服務器,如LDAP,Kerberos等,並提供授權。SSSD是介於本地用戶和數據存儲之間的進程,本地客戶端首先連接SSSD,再由SSSD聯繫外部資源提供者(一臺遠程服務器)
二:FreeIPA 的服務端部署
2.1 環境初始化
系統:
CentOS7.8x64
CDH6.3.2 已經安裝完成
停掉httpd 服務器
關閉chronyd server freeIPA 默認用的是NTP 時間同步
首先要確保安裝FreeIPA服務的服務器主機名爲完全限定域名(FQDN),flyfish這裏使用rc07bigdata.vpc.uniondrug.com作爲 完整的域名。
2.2 配置FreeIPA 服務端
####2.2.1 配置rngd服務
FreeIPA安裝需要大量的隨機數運行加密操作,需要安裝rngd服務防止操作系統的熵值過低
yum -y install rng-tools
service rngd start
chkconfig rngd on
service rngd status
2.2.2 配置IPV6的按需支持
vim /etc/sysctl.conf
---
net.ipv6.conf.lo.disable_ipv6 = 0
net.ipv6.conf.all.disable_ipv6 = 0
net.ipv6.conf.default.disable_ipv6 = 0
----
sysctl -p
2.2.3 配置freeIPA 服務端
安裝FreeIPA 的 依賴包
yum -y install ipa-server ipa-server-dns bind bind-dyndb-ldap
2.2.4 配置帶DNS的FreeIPA 服務端
ipa-server-install --setup-dns
域名: vpc.uniondrug.com
密碼:12345678
到最後
配置DNS服務器與域
vim /etc/resolv.conf
---
search vpc.uniondrug.com
nameserver 172.16.0.184
nameserver 223.5.5.5
nameserver 114.114.114.114
---
ipactl status
測試kerberos 是否可用
kinit admin ----> 密碼:12345678
klist
kadmin.local
list_principals
2.2.4 打開web 頁面:
https://rc07bigdata.vpc.uniondrug.com
用戶名:admin
密碼:12345678
這個只認域名不認IP 地址
2.2.5 創建CDH測試用戶
創建cdhadmin 賬號 密碼 爲cdhadmin
創建起來的用戶會同步到系統與Kerberos當中
三:freeIPA 客戶端的配置
啓用rc06bigdata.vpc.uniondrug.com 主機作爲客戶端測試
vim /etc/reslov.conf
----
寫上DNS 地址
search vpc.uniondrug.com
nameserver 172.16.0.148
----
nslookup rc07-bigdata.yl-uniondrug.com
配置客戶端工具:
yum -y install freeipa-client
在命令行中執行
ipa-client-install --mkhomedir --realm=VPC.UNIONDRUG.COM --domain=vpc.uniondrug.com --server=rc07bigdata.vpc.uniondrug.com
FreeIPA 服務的用戶名:admin 密碼 12345678
客戶端rc06bigdata.vpc.uniondrug.com 主機已經注入 FreeIPA 服務器當中
在客戶端節點上查看cdhadmin用戶已同步