FreeIPA Installation · 6 min read · Jan 07, 2026

Installieren und Konfigurieren des FreeIPA-Servers auf CentOS 8

FreeIPA ist eine Open-Source- integrierte Identitäts- und Authentifizierungslösung für Linux- und Unix-basierte Systeme. Es bietet eine zentrale Authentifizierung, indem es Daten über Benutzer, Gruppen, Hosts und andere Objekte speichert. Es bietet einen integrierten Identitätsverwaltungsdienst für Linux, Mac und Windows. FreeIPA basiert auf dem 389 Directory Server, Kerberos, SSSD, Dogtag, NTP und DNS. Es bietet eine webbasierte Schnittstelle zur Verwaltung von Linux-Benutzern und -Clients in Ihrem Bereich von einem zentralen Standort aus.

In diesem Tutorial zeigen wir Ihnen, wie Sie den FreeIPA-Server auf CentOS 8 installieren.

Voraussetzungen

  • Ein Server, der CentOS 8 ausführt.
  • Ein Root-Passwort ist auf dem Server konfiguriert.

Hostname einrichten

Zuerst müssen Sie den vollständig qualifizierten Hostnamen in Ihrem System einrichten. Sie können ihn mit dem folgenden Befehl einrichten:

hostnamectl set-hostname freeipa.mydomain10.com

Als Nächstes bearbeiten Sie die Datei /etc/hosts und fügen Sie Ihre Server-IP und den Hostnamen hinzu:

nano /etc/hosts

Fügen Sie die folgenden Zeilen hinzu:

45.58.43.185 freeipa.mydomain10.com

Speichern Sie die Datei und schließen Sie sie, wenn Sie fertig sind.

FreeIPA-Server installieren

Standardmäßig ist das FreeIPA-Paket im CentOS-Standard-Repository nicht verfügbar. Daher müssen Sie das idm:DL1-Repository in Ihrem System aktivieren.

Sie können es mit dem folgenden Befehl aktivieren:

dnf module enable idm:DL1

Synchronisieren Sie als Nächstes das Repository mit dem folgenden Befehl:

dnf distro-sync

Führen Sie als Nächstes den folgenden Befehl aus, um den FreeIPA-Server in Ihrem System zu installieren.

dnf install ipa-server ipa-server-dns -y

Sobald die Installation abgeschlossen ist, können Sie mit dem nächsten Schritt fortfahren.

FreeIPA-Server einrichten

Als Nächstes müssen Sie den FreeIPA-Server einrichten. Sie können ihn mit dem folgenden Befehl einrichten:

ipa-server-install

Sie werden aufgefordert, integriertes DNS zu konfigurieren, wie unten gezeigt:

Die Protokolldatei für diese Installation befindet sich in /var/log/ipaserver-install.log
ipa-server-install

Die Protokolldatei für diese Installation befindet sich in /var/log/ipaserver-install.log
==============================================================================
Dieses Programm richtet den IPA-Server ein.
Version 4.8.4

Dies umfasst:
  * Konfigurieren einer eigenständigen CA (dogtag) für die Zertifikatsverwaltung
  * Konfigurieren des NTP-Clients (chronyd)
  * Erstellen und Konfigurieren einer Instanz des Directory Servers
  * Erstellen und Konfigurieren eines Kerberos Key Distribution Center (KDC)
  * Konfigurieren von Apache (httpd)
  * Konfigurieren des KDC zur Aktivierung von PKINIT

Um die Standardwerte in Klammern zu akzeptieren, drücken Sie die Eingabetaste.

Möchten Sie integriertes DNS (BIND) konfigurieren? [nein]:

Drücken Sie die Eingabetaste, um „nein“ auszuwählen. Sie werden aufgefordert, den Hostnamen Ihres Servers anzugeben:

Geben Sie den vollständig qualifizierten Domainnamen des Computers ein,
auf dem Sie die Server-Software einrichten. Verwenden Sie die Form
.
Beispiel: master.example.com.


Server-Hostnamen [freeipa.mydomain10.com]:

Drücken Sie die Eingabetaste, um den Standard-Hostnamen auszuwählen. Sie werden aufgefordert, Ihren Domainnamen zu bestätigen, wie unten gezeigt:

Der Domainname wurde basierend auf dem Hostnamen ermittelt.

Bitte bestätigen Sie den Domainnamen [mydomain10.com]:

Drücken Sie die Eingabetaste, um den Standard-Domainnamen auszuwählen. Sie werden aufgefordert, das Passwort des Verzeichnismanagers festzulegen, wie unten gezeigt:

Das Kerberos-Protokoll erfordert, dass ein Realm-Name definiert wird.
Dies ist typischerweise der Domainname, der in Großbuchstaben umgewandelt wird.

Bitte geben Sie einen Realm-Namen an [MYDOMAIN10.COM]: 
Bestimmte Verzeichnisserveroperationen erfordern einen administrativen Benutzer.
Dieser Benutzer wird als Verzeichnismanager bezeichnet und hat vollen Zugriff
auf das Verzeichnis für Systemverwaltungsaufgaben und wird zur
Instanz des Verzeichnisservers hinzugefügt, die für IPA erstellt wurde.
Das Passwort muss mindestens 8 Zeichen lang sein.

Passwort des Verzeichnismanagers: 
Passwort (bestätigen):

Geben Sie Ihr gewünschtes Passwort ein und drücken Sie die Eingabetaste. Sie werden aufgefordert, das IPA-Admin-Passwort festzulegen, wie unten gezeigt:

Der IPA-Server benötigt einen administrativen Benutzer mit dem Namen 'admin'.
Dieser Benutzer ist ein reguläres Systemkonto, das für die Verwaltung des IPA-Servers verwendet wird.

IPA-Admin-Passwort: 
Passwort (bestätigen):

Geben Sie Ihr gewünschtes Passwort ein und drücken Sie die Eingabetaste. Sie werden aufgefordert, den NTP-Server zu konfigurieren, wie unten gezeigt:

Möchten Sie chrony mit der NTP-Server- oder Pooladresse konfigurieren? [nein]:

Drücken Sie die Eingabetaste, um die Standardoption auszuwählen. Sie sollten die folgende Ausgabe erhalten:

Der IPA-Master-Server wird konfiguriert mit:
Hostname:       freeipa.mydomain10.com
IP-Adresse(n): 45.58.43.185
Domainname:    mydomain10.com
Realm-Name:     MYDOMAIN10.COM

Die CA wird konfiguriert mit:
Subject DN:   CN=Certificate Authority,O=MYDOMAIN10.COM
Subject base: O=MYDOMAIN10.COM
Chaining:     selbstsigniert

Möchten Sie das System mit diesen Werten konfigurieren? [nein]: ja

Geben Sie „ja“ ein und drücken Sie die Eingabetaste, um das System mit den obigen Werten zu konfigurieren. Sobald die Einrichtung abgeschlossen ist, sollten Sie die folgende Ausgabe erhalten:

SSSD aktiviert
Konfiguriert /etc/openldap/ldap.conf
Konfiguriert /etc/ssh/ssh_config
Konfiguriert /etc/ssh/sshd_config
Konfigurieren von mydomain10.com als NIS-Domain.
Clientkonfiguration abgeschlossen.
Der Befehl ipa-client-install war erfolgreich

konnte den Hostnamen freeipa.mydomain10.com nicht in eine IP-Adresse auflösen, der ipa-ca-DNS-Eintrag wird unvollständig sein
konnte den Hostnamen freeipa.mydomain10.com nicht in eine IP-Adresse auflösen, der ipa-ca-DNS-Eintrag wird unvollständig sein
Bitte fügen Sie in dieser Datei Einträge zu Ihrem DNS-System hinzu: /tmp/ipa.system.records._u0fzahd.db
==============================================================================
Einrichtung abgeschlossen

Nächste Schritte:
    1. Sie müssen sicherstellen, dass diese Netzwerkports geöffnet sind:
        TCP-Ports:
          * 80, 443: HTTP/HTTPS
          * 389, 636: LDAP/LDAPS
          * 88, 464: Kerberos
        UDP-Ports:
          * 88, 464: Kerberos
          * 123: NTP

    2. Sie können jetzt ein Kerberos-Ticket mit dem Befehl: 'kinit admin' erhalten.
       Dieses Ticket ermöglicht Ihnen die Verwendung der IPA-Tools (z.B. ipa user-add)
       und der webbasierten Benutzeroberfläche.

Stellen Sie sicher, dass Sie die CA-Zertifikate, die in /root/cacert.p12 gespeichert sind, sichern.
Diese Dateien sind erforderlich, um Replikate zu erstellen. Das Passwort für diese
Dateien ist das Passwort des Verzeichnismanagers.
Der Befehl ipa-server-install war erfolgreich

Sobald Sie fertig sind, können Sie mit dem nächsten Schritt fortfahren.

Firewall und SELinux konfigurieren

Wenn firewalld in Ihrem System installiert ist, müssen Sie einige von FreeIPA verwendete Ports zulassen. Sie können sie mit dem folgenden Befehl zulassen:

firewall-cmd --add-service={http,https,dns,ntp,freeipa-ldap,freeipa-ldaps} --permanent

Laden Sie als Nächstes die firewalld mit dem folgenden Befehl neu, um die Änderungen anzuwenden:

firewall-cmd --reload

Als Nächstes müssen Sie auch SELinux in Ihrem System deaktivieren.

Sie können SELinux deaktivieren, indem Sie die Datei /etc/selinux/config bearbeiten:

nano /etc/selinux/config

Suchen Sie die folgende Zeile:

SELINUX=enforcing

Und ersetzen Sie sie durch die folgende Zeile:

SELINUX=permissive

Speichern Sie die Datei und schließen Sie sie. Starten Sie dann Ihr System neu, um die Änderungen anzuwenden:

Zugriff auf die FreeIPA-Weboberfläche

Öffnen Sie jetzt Ihren Webbrowser und greifen Sie auf die FreeIPA-Weboberfläche über die URL https://freeipa.mydomain10.com zu. Sie werden zur Anmeldeseite von FreeIPA weitergeleitet, wie unten gezeigt:

CentOS Identitätsmanagement

Geben Sie Ihren Admin-Benutzernamen, Ihr Passwort ein und klicken Sie auf die Schaltfläche Anmelden. Sie sollten das FreeIPA-Dashboard auf der folgenden Seite sehen:

FreeIPA-Server

Arbeiten mit der FreeIPA-CLI

FreeIPA bietet auch ein Befehlszeilenwerkzeug, um neue Benutzer, Gruppen, Dienstprinzipale hinzuzufügen und Schreibzugriff auf bestimmte Attribute von einer Gruppe auf eine andere zu gewähren.

Bevor Sie das CLI-Tool verwenden, müssen Sie ein Kerberos-Ticket mit dem folgenden Befehl erhalten:

kinit admin

Sie werden aufgefordert, das Passwort einzugeben, wie unten gezeigt:

Passwort für [email protected]:

Geben Sie Ihr Admin-Passwort ein und drücken Sie die Eingabetaste, um ein Kerberos-Ticket zu erhalten.

Führen Sie als Nächstes den folgenden Befehl aus, um das Ablaufdatum des Tickets zu überprüfen:

klist

Sie sollten die folgende Ausgabe erhalten:

Ticket-Cache: KCM:0
Standardprinzipal: [email protected]

Gültig ab       Ablauf              Dienstprinzipal
2020-09-28T03:36:54  2020-09-29T03:36:50  krbtgt/[email protected]

Fügen Sie als Nächstes mit dem folgenden Befehl ein neues Benutzerkonto hinzu:

ipa user-add user1 --first=hit --last=jethva [email protected] --password

Sie sollten die folgende Ausgabe erhalten:

Passwort: 
Geben Sie das Passwort erneut zur Überprüfung ein: 
------------------
Benutzer "user1" hinzugefügt
------------------
  Benutzeranmeldung: user1
  Vorname: hit
  Nachname: jethva
  Vollständiger Name: hit jethva
  Anzeigename: hit jethva
  Initialen: hj
  Heimatverzeichnis: /home/user1
  GECOS: hit jethva
  Anmeldeshell: /bin/sh
  Prinzipalname: [email protected]
  Prinzipalalias: [email protected]
  Ablauf des Benutzerpassworts: 20200928073905Z
  E-Mail-Adresse: [email protected]
  UID: 384600001
  GID: 384600001
  Passwort: Wahr
  Mitglied von Gruppen: ipausers
  Kerberos-Schlüssel verfügbar: Wahr

Sie können auch alle Benutzerkonten in Ihrem System mit dem folgenden Befehl auflisten:

ipa user-find

Sie sollten die folgende Ausgabe sehen:

---------------
2 Benutzer gefunden
---------------
  Benutzeranmeldung: admin
  Nachname: Administrator
  Heimatverzeichnis: /home/admin
  Anmeldeshell: /bin/bash
  Prinzipalalias: [email protected]
  UID: 384600000
  GID: 384600000
  Konto deaktiviert: Falsch

  Benutzeranmeldung: user1
  Vorname: hit
  Nachname: jethva
  Heimatverzeichnis: /home/user1
  Anmeldeshell: /bin/sh
  Prinzipalname: [email protected]
  Prinzipalalias: [email protected]
  E-Mail-Adresse: [email protected]
  UID: 384600001
  GID: 384600001
  Konto deaktiviert: Falsch
----------------------------
Anzahl der zurückgegebenen Einträge 2

Fazit

Herzlichen Glückwunsch! Sie haben erfolgreich den FreeIPA-Server auf CentOS 8 installiert und konfiguriert. Sie können jetzt den FreeIPA-Client installieren und ihn zum FreeIPA-Server für zentrale Authentifizierung hinzufügen. Zögern Sie nicht, mich zu fragen, wenn Sie Fragen haben.

Share: X/Twitter LinkedIn
#FreeIPA Installation

Erhalte neue Beiträge in deinem Posteingang.

Kein Spam. Jederzeit abmelden.