FreeIPA · 7 min read · Jan 07, 2026

Instalar e Configurar o Servidor FreeIPA no CentOS 8

FreeIPA é uma solução de Identidade e Autenticação integrada de código aberto para sistemas baseados em Linux e Unix. Ele fornece autenticação centralizada armazenando dados sobre usuários, grupos, hosts e outros objetos. Ele fornece um serviço integrado de gerenciamento de identidade para Linux, Mac e Windows. FreeIPA é baseado no 389 Directory Server, Kerberos, SSSD, Dogtag, NTP e DNS. Ele fornece uma interface baseada na web para gerenciar usuários e clientes Linux em seu domínio a partir de um local central.

Neste tutorial, mostraremos como instalar o servidor FreeIPA no CentOS 8.

Pré-requisitos

  • Um servidor executando CentOS 8.
  • Uma senha de root configurada no servidor.

Configurar Nome do Host

Primeiro, você precisará configurar o nome do host totalmente qualificado em seu sistema. Você pode configurá-lo com o seguinte comando:

hostnamectl set-hostname freeipa.mydomain10.com

Em seguida, edite o arquivo /etc/hosts e adicione o IP e o nome do host do seu servidor:

nano /etc/hosts

Adicione as seguintes linhas:

45.58.43.185 freeipa.mydomain10.com

Salve e feche o arquivo quando terminar.

Instalar o Servidor FreeIPA

Por padrão, o pacote FreeIPA não está disponível no repositório padrão do CentOS. Portanto, você precisará habilitar o repositório idm:DL1 em seu sistema.

Você pode habilitá-lo com o seguinte comando:

dnf module enable idm:DL1

Em seguida, sincronize o repositório com o seguinte comando:

dnf distro-sync

Em seguida, execute o seguinte comando para instalar o servidor FreeIPA em seu sistema.

dnf install ipa-server ipa-server-dns -y

Uma vez que a instalação esteja concluída, você pode prosseguir para o próximo passo.

Configurar o Servidor FreeIPA

Em seguida, você precisará configurar o servidor FreeIPA. Você pode configurá-lo com o seguinte comando:

ipa-server-install

Você será solicitado a configurar o DNS integrado, conforme mostrado abaixo:

O arquivo de log para esta instalação pode ser encontrado em /var/log/ipaserver-install.log
ipa-server-install

O arquivo de log para esta instalação pode ser encontrado em /var/log/ipaserver-install.log
==============================================================================
Este programa irá configurar o Servidor IPA.
Versão 4.8.4

Isto inclui:
  * Configurar uma CA autônoma (dogtag) para gerenciamento de certificados
  * Configurar o cliente NTP (chronyd)
  * Criar e configurar uma instância do Directory Server
  * Criar e configurar um Centro de Distribuição de Chaves Kerberos (KDC)
  * Configurar o Apache (httpd)
  * Configurar o KDC para habilitar PKINIT

Para aceitar o padrão mostrado entre colchetes, pressione a tecla Enter.

Você deseja configurar o DNS integrado (BIND)? [não]:

Pressione Enter para selecionar não. Você será solicitado a fornecer o nome do host do seu servidor:

Digite o nome de domínio totalmente qualificado do computador
no qual você está configurando o software do servidor. Usando a forma
.
Exemplo: master.example.com.


Nome do host do servidor [freeipa.mydomain10.com]:

Pressione Enter para selecionar o nome do host padrão. Você será solicitado a confirmar seu nome de domínio, conforme mostrado abaixo:

O nome do domínio foi determinado com base no nome do host.

Por favor, confirme o nome do domínio [mydomain10.com]:

Pressione Enter para selecionar o nome de domínio padrão. Você será solicitado a definir a senha do gerente do diretório, conforme mostrado abaixo:

O protocolo kerberos requer que um nome de Realm seja definido.
Isto é tipicamente o nome do domínio convertido para maiúsculas.

Por favor, forneça um nome de realm [MYDOMAIN10.COM]: 
Certas operações do servidor de diretório requerem um usuário administrativo.
Esse usuário é referido como o Gerente do Diretório e tem acesso total
ao Diretório para tarefas de gerenciamento do sistema e será adicionado à
instância do servidor de diretório criada para o IPA.
A senha deve ter pelo menos 8 caracteres.

Senha do Gerente do Diretório: 
Senha (confirmar):

Forneça sua senha desejada e pressione Enter. Você será solicitado a definir a senha do administrador do IPA, conforme mostrado abaixo:

O servidor IPA requer um usuário administrativo, chamado 'admin'.
Esse usuário é uma conta de sistema regular usada para administração do servidor IPA.

Senha do administrador do IPA: 
Senha (confirmar):

Forneça sua senha desejada e pressione Enter. Você será solicitado a configurar o servidor NTP, conforme mostrado abaixo:

Você deseja configurar o chrony com o endereço do servidor ou pool NTP? [não]:

Pressione Enter para selecionar a opção padrão. Você deve obter a seguinte saída:

O Servidor Master IPA será configurado com:
Nome do host:       freeipa.mydomain10.com
Endereço IP(s): 45.58.43.185
Nome do domínio:    mydomain10.com
Nome do Realm:     MYDOMAIN10.COM

A CA será configurada com:
DN do Sujeito:   CN=Certificate Authority,O=MYDOMAIN10.COM
Base do Sujeito: O=MYDOMAIN10.COM
Encadeamento:     autoassinado

Continuar a configurar o sistema com esses valores? [não]: sim

Digite sim e pressione Enter para configurar o sistema com os valores acima. Uma vez que a configuração esteja concluída, você deve obter a seguinte saída:

SSSD habilitado
Configurado /etc/openldap/ldap.conf
Configurado /etc/ssh/ssh_config
Configurado /etc/ssh/sshd_config
Configurando mydomain10.com como domínio NIS.
Configuração do cliente concluída.
O comando ipa-client-install foi bem-sucedido

incapaz de resolver o nome do host freeipa.mydomain10.com. para o endereço IP, o registro DNS ipa-ca estará incompleto
incapaz de resolver o nome do host freeipa.mydomain10.com. para o endereço IP, o registro DNS ipa-ca estará incompleto
Por favor, adicione registros neste arquivo ao seu sistema DNS: /tmp/ipa.system.records._u0fzahd.db
==============================================================================
Configuração completa

Próximos passos:
    1. Você deve garantir que essas portas de rede estejam abertas:
        Portas TCP:
          * 80, 443: HTTP/HTTPS
          * 389, 636: LDAP/LDAPS
          * 88, 464: kerberos
        Portas UDP:
          * 88, 464: kerberos
          * 123: ntp

    2. Você agora pode obter um ticket kerberos usando o comando: 'kinit admin'
       Este ticket permitirá que você use as ferramentas IPA (por exemplo, ipa user-add)
       e a interface web.

Certifique-se de fazer backup dos certificados CA armazenados em /root/cacert.p12
Esses arquivos são necessários para criar réplicas. A senha para esses
arquivos é a senha do Gerente do Diretório
O comando ipa-server-install foi bem-sucedido

Uma vez que você tenha terminado, pode prosseguir para o próximo passo.

Configurar Firewall e SELinux

Se o firewalld estiver instalado em seu sistema, você precisará permitir algumas portas usadas pelo FreeIPA. Você pode permitir essas portas com o seguinte comando:

firewall-cmd --add-service={http,https,dns,ntp,freeipa-ldap,freeipa-ldaps} --permanent

Em seguida, recarregue o firewalld com o seguinte comando para aplicar as alterações:

firewall-cmd --reload

Em seguida, você também precisará desabilitar o SELinux em seu sistema.

Você pode desabilitar o SELinux editando o arquivo /etc/selinux/config:

nano /etc/selinux/config

Encontre a seguinte linha:

SELINUX=enforcing

E, substitua-a pela seguinte linha:

SELINUX=permissive

Salve e feche o arquivo. Em seguida, reinicie seu sistema para aplicar as alterações:

Acessar a Interface Web do FreeIPA

Agora, abra seu navegador da web e acesse a interface web do FreeIPA usando a URL https://freeipa.mydomain10.com. Você será redirecionado para a página de login do FreeIPA, conforme mostrado abaixo:

Gerenciamento de Identidade do CentOS

Forneça seu nome de usuário admin, senha e clique no botão Entrar. Você deve ver o painel do FreeIPA na seguinte página:

Servidor FreeIPA

Trabalhando com o CLI do FreeIPA

FreeIPA também fornece uma ferramenta de linha de comando para adicionar novos usuários, grupos, principais de serviço e conceder acesso de gravação a certos atributos de um grupo para outro.

Antes de usar a ferramenta CLI, você precisará obter um ticket Kerberos com o seguinte comando:

kinit admin

Você será solicitado a fornecer a senha, conforme mostrado abaixo:

Senha para [email protected]:

Forneça sua senha de administrador e pressione Enter para obter um ticket Kerberos.

Em seguida, execute o seguinte comando para verificar a expiração do ticket:

klist

Você deve obter a seguinte saída:

Cache de tickets: KCM:0
Principal padrão: [email protected]

Início válido       Expira              Principal de serviço
2020-09-28T03:36:54  2020-09-29T03:36:50  krbtgt/[email protected]

Em seguida, adicione uma nova conta de usuário com o seguinte comando:

ipa user-add user1 --first=hit --last=jethva [email protected] --password

Você deve obter a seguinte saída:

Senha: 
Digite a senha novamente para verificar: 
------------------
Usuário "user1" adicionado
------------------
  Login do usuário: user1
  Primeiro nome: hit
  Último nome: jethva
  Nome completo: hit jethva
  Nome exibido: hit jethva
  Iniciais: hj
  Diretório inicial: /home/user1
  GECOS: hit jethva
  Shell de login: /bin/sh
  Nome principal: [email protected]
  Alias principal: [email protected]
  Expiração da senha do usuário: 20200928073905Z
  Endereço de e-mail: [email protected]
  UID: 384600001
  GID: 384600001
  Senha: True
  Membro dos grupos: ipausers
  Chaves Kerberos disponíveis: True

Você também pode listar todas as contas de usuário em seu sistema com o seguinte comando:

ipa user-find

Você deve ver a seguinte saída:

---------------
2 usuários correspondem
---------------
  Login do usuário: admin
  Último nome: Administrador
  Diretório inicial: /home/admin
  Shell de login: /bin/bash
  Alias principal: [email protected]
  UID: 384600000
  GID: 384600000
  Conta desativada: Falso

  Login do usuário: user1
  Primeiro nome: hit
  Último nome: jethva
  Diretório inicial: /home/user1
  Shell de login: /bin/sh
  Nome principal: [email protected]
  Alias principal: [email protected]
  Endereço de e-mail: [email protected]
  UID: 384600001
  GID: 384600001
  Conta desativada: Falso
----------------------------
Número de entradas retornadas 2

Conclusão

Parabéns! você instalou e configurou com sucesso o servidor FreeIPA no CentOS 8. Você agora pode instalar o cliente FreeIPA e adicioná-lo ao servidor FreeIPA para Autenticação Centralizada. Sinta-se à vontade para me perguntar se você tiver alguma dúvida.

Share: X/Twitter LinkedIn
#FreeIPA

Receba novas postagens na sua caixa de entrada

Sem spam. Cancele a assinatura a qualquer momento.