freeipa

CDH6.3.2 集成 Freeipa 的kerberos 标签（空格分隔）： 大数据运维专栏 一：系统环境 二：CDH6.3.2 集成freeipa 的Kerberos 一：系统环境 1.2 系统配置 要求大数据的所有主机注入到FreeIPA当中 cdh 最低版本为CDH6.3.2 版本 二：CDH6.3.2 集成freeipa 的Kerberos 2.1 修改Kerberos 的 krb5.conf 文件 vim /etc/krb5.conf ---- #File modified by ipa-client-install includedir /etc/krb5.conf.d/ includedir /var/lib/sss/pubconf/krb5.include.d/ [libdefaults] default_realm = VPC.UNIONDRUG.COM dns_lookup_realm = false dns_lookup_kdc = false rdns = false dns_canonicalize_hostname = false ticket_lifetime = 24h forwardable = true udp_preference_limit = 0 renew_lifetime = 7d renewable = true # default

FreeIPA是一个集成了 Linux (Fedora)、389目录服务器、MIT Kerberos、NTP、DNS和Dogtag(证书系统)的安全信息管理解决方案。它由web界面和 命令 行管理工具组成。 在VM2中设置FreeIPA客户端 修改客户端网卡dns地址为192.168.43.138(server端地址)，然后重启网卡 安装ipa-client [root@client ~]# yum -y install ipa-client 把client端加入域 # 服务端会默认将客户端主机名解析成当前的IP地址 [root@client ~]# ipa-client-install --mkhomedir --enable-dns-updates --no-ntp -p admin 可以看到 client主机已经加入域了。 然后用bpang这个用户ssh登录client端测试，输入密码之后提示更改密码，更改完密码正常登录到client，并且为bpang用户自动创建了家目录。 然后输入sudo -i可以切换成root用户，说明配置的sudo规则正常使用。 本文原创地址： https://www.linuxprobe.com/centos7-install-freeipa-three.html 编辑：逄增宝，审核员：逄增宝 来源： oschina 链接： https://my

FreeIPA是一个集成了 Linux (Fedora)、389目录服务器、MIT Kerberos、NTP、DNS和Dogtag(证书系统)的安全信息管理解决方案。它由web界面和 命令 行管理工具组成。 在VM2中设置FreeIPA客户端 修改客户端网卡dns地址为192.168.43.138(server端地址)，然后重启网卡 安装ipa-client [root@client ~]# yum -y install ipa-client 把client端加入域 # 服务端会默认将客户端主机名解析成当前的IP地址 [root@client ~]# ipa-client-install --mkhomedir --enable-dns-updates --no-ntp -p admin 可以看到 client主机已经加入域了。 然后用bpang这个用户ssh登录client端测试，输入密码之后提示更改密码，更改完密码正常登录到client，并且为bpang用户自动创建了家目录。 然后输入sudo -i可以切换成root用户，说明配置的sudo规则正常使用。 本文原创地址： https://www.linuxprobe.com/centos7-install-freeipa-three.html 编辑：逄增宝，审核员：逄增宝 来源： oschina 链接： https://my

FreeIPA是一个集成了 Linux (Fedora)、389目录服务器、MIT Kerberos、NTP、DNS和Dogtag(证书系统)的安全信息管理解决方案。它由web界面和 命令 行管理工具组成。 添加用户 从物理机用浏览器访问ipa服务器，需要修改一下hosts文件。路径： C:\Windows\System32\drivers\etc\hosts 浏览器输入 https://server.linuxprobe.com 显示ipa登录界面 添加用户 点击 添加和编辑 修改登录 shell 为 /bin/bash，用户认证类型 勾选“密码” ，然后保存修改。 配置sudo规则 点击 策略-Sudo,下拉选择Sudo规则-添加 规则名称设置为admin，我们需要给admin组设置sudo规则，稍后我们把bpang用户添加到admin组。 点击“添加和编辑” 规则应用的用户类别 设置为 “任何人” ， 规则应用的主机类别 设置为 “任何主机” 规则适用的 命令 类别 设置为 “任何命令”， 作为规则使用的用户类别来运行 设置为 “任何人”， 作为规则适用的用户组类别来运行 设置为 “任何组” 然后保存。 提示： 配置完sudo不会马上生效，因为sssd有缓存，sssd缓存目录在/var/lib/sss/db/，sssd定时把sudo policy缓存在自己的本地，然后定时更新

第七章 firewall防火墙 本节所讲内容： 7.1、TCPWRAPS简介与实际应用 7.2、firewall防火墙简介 7.3、firewall防火墙实际应用 实验环境： 服务端：server IP：192.168.26.82 客户端：client IP：192.168.26.80 内 网：server IP：10.0.0.81 正文部分： 7.1、TCPWRAPS简介与实际应用 7.1.1、TCPWRAPS简介 DTCPWRAPS概述： 1）组成：由两部分控制文件组成 （1）/etc/hosts.allow （2）/etc/hots.deny 2）功能：对一些特定服务访问控制 主要格式如下： 特定服务名 ： IP地址/掩码 （掩码是/255.255.255.0不能写成/24） 如： sshd : 192.168.26.0/255.255.255.0 sshd : ALL 匹配规则： /etc/hosts.allow优先级高，规则匹配成功则通过 hosts.allow规则如果不匹配，则检查跟hosts.deny规则是否匹配，如果匹配则禁止 如果两个文件规则都不匹配，则直接允许通过 实际举例说明： 要求：只允许192.168.26.80可以ssh连接192.168.26.82服务器 [root@node-12 ~]# tail -1 /etc/hosts.allow sshd :

FreeIPA是一个集成了 Linux (Fedora)、389目录服务器、MIT Kerberos、NTP、DNS和Dogtag(证书系统)的安全信息管理解决方案。它由web界面和 命令 行管理工具组成。 添加用户 从物理机用浏览器访问ipa服务器，需要修改一下hosts文件。路径：C:\Windows\System32\drivers\etc\hosts 浏览器输入https://server.linuxprobe.com 显示ipa登录界面 添加用户 点击 添加和编辑 修改登录 shell 为 /bin/bash，用户认证类型 勾选“密码” ，然后保存修改。 配置sudo规则 点击 策略-Sudo,下拉选择Sudo规则-添加 规则名称设置为admin，我们需要给admin组设置sudo规则，稍后我们把bpang用户添加到admin组。 点击“添加和编辑” 规则应用的用户类别 设置为 “任何人” ， 规则应用的主机类别 设置为 “任何主机” 规则适用的 命令 类别 设置为 “任何命令”， 作为规则使用的用户类别来运行 设置为 “任何人”， 作为规则适用的用户组类别来运行 设置为 “任何组” 然后保存。 提示： 配置完sudo不会马上生效，因为sssd有缓存，sssd缓存目录在/var/lib/sss/db/，sssd定时把sudo policy缓存在自己的本地，然后定时更新

FreeIPA是一个集成了 Linux (Fedora)、389目录服务器、MIT Kerberos、NTP、DNS和Dogtag(证书系统)的安全信息管理解决方案。它由web界面和 命令 行管理工具组成。 在VM2中设置FreeIPA客户端 修改客户端网卡dns地址为192.168.43.138(server端地址)，然后重启网卡 安装ipa-client [root@client ~]# yum -y install ipa-client 把client端加入域 # 服务端会默认将客户端主机名解析成当前的IP地址 [root@client ~]# ipa-client-install --mkhomedir --enable-dns-updates --no-ntp -p admin 可以看到 client主机已经加入域了。 然后用bpang这个用户ssh登录client端测试，输入密码之后提示更改密码，更改完密码正常登录到client，并且为bpang用户自动创建了家目录。 然后输入sudo -i可以切换成root用户，说明配置的sudo规则正常使用。 本文原创地址： https://www.linuxprobe.com/centos7-install-freeipa-three.html 编辑：逄增宝，审核员：逄增宝 来源： oschina 链接： https://my

FreeIPA是一个集成了 Linux (Fedora)、389目录服务器、MIT Kerberos、NTP、DNS和Dogtag(证书系统)的安全信息管理解决方案。它由web界面和 命令 行管理工具组成。 简介 FreeIPA是一个集成了Linux (Fedora)、389目录服务器、MIT Kerberos、NTP、DNS和Dogtag(证书系统)的安全信息管理解决方案。它由web界面和 命令 行管理工具组成。 FreeIPA是针对Linux/UNIX网络环境的集成身份和认证解决方案。FreeIPA服务器通过存储关于用户、组、主机和其他管理计算机网络安全方面所需的对象的数据，提供集中的身份验证、授权和帐户信息。 FreeIPA构建于众所周知的开源组件和标准协议之上，非常注重管理的简便性以及安装和配置任务的自动化。 可以在一个FreeIPA域中轻松地配置多个FreeIPA服务器，以提供冗余和可伸缩性。389目录服务器是主要的数据存储，并提供了完整的多主LDAPv3目录基础结构。单点登录身份验证是通过MIT Kerberos KDC提供的。基于Dogtag项目的集成证书颁发机构增强了身份验证功能。还可以使用集成的ISC绑定服务器管理域名。 环境准备 Centos 7.7 虚拟机两台 IPA server 版本 4.6.5 地址信息 VM1作为服务端 VM2作为客户端 Virtual

CentOs7改变的最大处就是防火墙了，下面列用了常用的防火墙规则，端口转发和伪装 一、Firewalld基础规则 --get-default-zone　　打印已设置为默认区域的当前区域，默认情况下默认区域为公共区域。 [root@centos7 ~]# firewall-cmd --get-default- zone public --new-zone=ZONE_NAME　　创建自己的自定义区域 [root@centos7 ~]# firewall-cmd --permanent --new-zone= testing success --set-default 　　修改默认区域 [root@centos7 ~]# firewall-cmd --permanent --set-default-zone=testing --get-zones　　打印所有可用区域的列表 [root@centos7 ~]# firewall-cmd --get- zones block dmz drop external home internal public trusted work --list-all-zones　　显示每个区域的详细信息，为了简单起见，这里只显示一个区域的结果 [root@centos7 ~]# firewall-cmd --list-all- zones public