FreeIPA · 1 min read · Jan 07, 2026
CentOS 8にFreeIPAサーバーをインストールして構成する
FreeIPAは、LinuxおよびUnixベースのシステム向けのオープンソースの統合アイデンティティおよび認証ソリューションです。ユーザー、グループ、ホスト、およびその他のオブジェクトに関するデータを保存することにより、中央集権的な認証を提供します。Linux、Mac、およびWindows向けの統合アイデンティティ管理サービスを提供します。FreeIPAは、389ディレクトリサーバー、Kerberos、SSSD、Dogtag、NTP、およびDNSに基づいています。中央の場所から、あなたの領域内のLinuxユーザーとクライアントを管理するためのWebベースのインターフェースを提供します。
このチュートリアルでは、CentOS 8にFreeIPAサーバーをインストールする方法を示します。
前提条件
- CentOS 8を実行しているサーバー。
- サーバーにルートパスワードが設定されています。
ホスト名の設定
まず、システムに完全修飾ホスト名を設定する必要があります。次のコマンドで設定できます。
hostnamectl set-hostname freeipa.mydomain10.com次に、/etc/hostsファイルを編集し、サーバーのIPアドレスとホスト名を追加します。
nano /etc/hosts次の行を追加します。
45.58.43.185 freeipa.mydomain10.com
完了したら、ファイルを保存して閉じます。
FreeIPAサーバーのインストール
デフォルトでは、FreeIPAパッケージはCentOSの標準リポジトリにはありません。したがって、システムでidm:DL1リポジトリを有効にする必要があります。
次のコマンドで有効にできます。
dnf module enable idm:DL1次に、次のコマンドでリポジトリを同期します。
dnf distro-sync次に、次のコマンドを実行して、システムにFreeIPAサーバーをインストールします。
dnf install ipa-server ipa-server-dns -yインストールが完了したら、次のステップに進むことができます。
FreeIPAサーバーの設定
次に、FreeIPAサーバーを設定する必要があります。次のコマンドで設定できます。
ipa-server-install統合DNSを構成するように求められます。
このインストールのログファイルは/var/log/ipaserver-install.logにあります。
ipa-server-install
このインストールのログファイルは/var/log/ipaserver-install.logにあります。
==============================================================================
このプログラムはIPAサーバーを設定します。
バージョン4.8.4
これには次のものが含まれます:
* 証明書管理のためのスタンドアロンCA(dogtag)の構成
* NTPクライアント(chronyd)の構成
* ディレクトリサーバーのインスタンスの作成と構成
* Kerberosキー配布センター(KDC)の作成と構成
* Apache(httpd)の構成
* PKINITを有効にするためのKDCの構成
ブラケット内に表示されているデフォルトを受け入れるには、Enterキーを押してください。
統合DNS(BIND)を構成しますか? [no]:
Enterを押して「no」を選択します。サーバーのホスト名を提供するように求められます。
コンピュータの完全修飾ドメイン名を入力してください
サーバーソフトウェアを設定しています。形式を使用します
.
例:master.example.com。
サーバーホスト名 [freeipa.mydomain10.com]:
Enterを押してデフォルトのホスト名を選択します。次に、ドメイン名を確認するように求められます。
ホスト名に基づいてドメイン名が決定されました。
ドメイン名を確認してください [mydomain10.com]:
Enterを押してデフォルトのドメイン名を選択します。次に、ディレクトリマネージャーパスワードを設定するように求められます。
Kerberosプロトコルでは、Realm名を定義する必要があります。
通常、これはドメイン名を大文字に変換したものです。
Realm名を提供してください [MYDOMAIN10.COM]:
特定のディレクトリサーバー操作には管理ユーザーが必要です。
このユーザーはディレクトリマネージャーと呼ばれ、システム管理タスクのためにディレクトリへの完全なアクセス権を持ち、IPAのために作成されたディレクトリサーバーのインスタンスに追加されます。
パスワードは8文字以上である必要があります。
ディレクトリマネージャーパスワード:
パスワード(確認):
希望のパスワードを入力してEnterを押します。次に、IPA管理者パスワードを設定するように求められます。
IPAサーバーには「admin」という名前の管理ユーザーが必要です。
このユーザーはIPAサーバー管理に使用される通常のシステムアカウントです。
IPA管理者パスワード:
パスワード(確認):
希望のパスワードを入力してEnterを押します。次に、NTPサーバーを構成するように求められます。
NTPサーバーまたはプールアドレスでchronyを構成しますか? [no]:
Enterを押してデフォルトオプションを選択します。次の出力が表示されるはずです。
IPAマスターサーバーは次のように構成されます:
ホスト名: freeipa.mydomain10.com
IPアドレス: 45.58.43.185
ドメイン名: mydomain10.com
Realm名: MYDOMAIN10.COM
CAは次のように構成されます:
サブジェクトDN: CN=Certificate Authority,O=MYDOMAIN10.COM
サブジェクトベース: O=MYDOMAIN10.COM
チェイニング: 自己署名
これらの値でシステムを構成を続けますか? [no]: yes
「yes」と入力してEnterを押して、上記の値でシステムを構成します。セットアップが完了すると、次の出力が表示されるはずです。
SSSDが有効になりました
/etc/openldap/ldap.confが構成されました
/etc/ssh/ssh_configが構成されました
/etc/ssh/sshd_configが構成されました
mydomain10.comをNISドメインとして構成しています。
クライアント構成が完了しました。
ipa-client-installコマンドは成功しました
ホスト名freeipa.mydomain10.comをIPアドレスに解決できません。ipa-ca DNSレコードは不完全になります
ホスト名freeipa.mydomain10.comをIPアドレスに解決できません。ipa-ca DNSレコードは不完全になります
このファイルにレコードを追加してください:/tmp/ipa.system.records._u0fzahd.db
==============================================================================
セットアップ完了
次のステップ:
1. これらのネットワークポートが開いていることを確認する必要があります:
TCPポート:
* 80, 443: HTTP/HTTPS
* 389, 636: LDAP/LDAPS
* 88, 464: kerberos
UDPポート:
* 88, 464: kerberos
* 123: ntp
2. 次のコマンドを使用してkerberosチケットを取得できます:'kinit admin'
このチケットを使用すると、IPAツール(例:ipa user-add)
およびWebユーザーインターフェースを使用できます。
/root/cacert.p12に保存されているCA証明書をバックアップしてください
これらのファイルはレプリカを作成するために必要です。これらのファイルのパスワードはディレクトリマネージャーパスワードです。
ipa-server-installコマンドは成功しました
完了したら、次のステップに進むことができます。
ファイアウォールとSELinuxの構成
システムにfirewalldがインストールされている場合は、FreeIPAで使用されるいくつかのポートを許可する必要があります。次のコマンドで許可できます。
firewall-cmd --add-service={http,https,dns,ntp,freeipa-ldap,freeipa-ldaps} --permanent次に、次のコマンドでfirewalldを再読み込みして変更を適用します。
firewall-cmd --reload次に、システムでSELinuxを無効にする必要があります。
次のコマンドで/etc/selinux/configファイルを編集してSELinuxを無効にできます。
nano /etc/selinux/config次の行を見つけます。
SELINUX=enforcing
次の行に置き換えます。
SELINUX=permissiveファイルを保存して閉じます。次に、変更を適用するためにシステムを再起動します。
FreeIPA Web UIにアクセス
今、Webブラウザを開いて、URL https://freeipa.mydomain10.comを使用してFreeIPA Webインターフェースにアクセスします。次のようにFreeIPAログインページにリダイレクトされます。
管理者のユーザー名、パスワードを入力し、ログインボタンをクリックします。次のページにFreeIPAダッシュボードが表示されるはずです。
FreeIPA CLIを使用する
FreeIPAは、新しいユーザー、グループ、サービスプリンシパルを追加し、あるグループから別のグループへの特定の属性への書き込みアクセスを付与するためのコマンドラインツールも提供します。
CLIツールを使用する前に、次のコマンドでKerberosチケットを取得する必要があります。
kinit admin次のようにパスワードを提供するように求められます。
[メール protected]のパスワード:
管理者パスワードを入力してEnterを押してKerberosチケットを取得します。
次に、次のコマンドを実行してチケットの有効期限を確認します。
klist次の出力が表示されるはずです。
チケットキャッシュ: KCM:0
デフォルトのプリンシパル:[メール protected]
有効開始 有効期限 サービスプリンシパル
2020-09-28T03:36:54 2020-09-29T03:36:50 krbtgt/[メール protected]
次に、次のコマンドで新しいユーザーアカウントを追加します。
ipa user-add user1 --first=hit --last=jethva [メール protected] --password次の出力が表示されるはずです。
パスワード:
確認のためにもう一度パスワードを入力してください:
------------------
ユーザー「user1」を追加しました
------------------
ユーザーログイン: user1
名: hit
姓: jethva
フルネーム: hit jethva
表示名: hit jethva
イニシャル: hj
ホームディレクトリ: /home/user1
GECOS: hit jethva
ログインシェル: /bin/sh
プリンシパル名: [メール protected]
プリンシパルエイリアス: [メール protected]
ユーザーパスワードの有効期限: 20200928073905Z
メールアドレス: [メール protected]
UID: 384600001
GID: 384600001
パスワード: True
グループのメンバー: ipausers
Kerberosキーが利用可能: True
次のコマンドでシステム内のすべてのユーザーアカウントをリストすることもできます。
ipa user-find次の出力が表示されるはずです。
---------------
2人のユーザーが一致しました
---------------
ユーザーログイン: admin
姓: Administrator
ホームディレクトリ: /home/admin
ログインシェル: /bin/bash
プリンシパルエイリアス: [メール protected]
UID: 384600000
GID: 384600000
アカウントが無効: False
ユーザーログイン: user1
名: hit
姓: jethva
ホームディレクトリ: /home/user1
ログインシェル: /bin/sh
プリンシパル名: [メール protected]
プリンシパルエイリアス: [メール protected]
メールアドレス: [メール protected]
UID: 384600001
GID: 384600001
アカウントが無効: False
----------------------------
返されたエントリの数 2
結論
おめでとうございます!CentOS 8にFreeIPAサーバーを正常にインストールして構成しました。これでFreeIPAクライアントをインストールし、中央集権的な認証のためにFreeIPAサーバーに追加できます。質問があればお気軽にお尋ねください。
新しい投稿を受信箱で受け取る
スパムはありません。いつでも購読を解除できます。