Free IPA docker 安装记录
freeipa是什么,官网了解下。
我的理解:
Linux上的安全信息集成管理方案。将各种 389 Directory Server, MIT Kerberos, NTP, DNS, Dogtag certificate system, 集成在一起的域管理软件。
docker下载地址
docker pull freeipa/freeipa-server
运行
docker run --name freeipa-server-dev -it -h server.freeipa.cn --read-only -e PASSWORD=12345678 -e IPA_SERVER_IP=172.30.86.226 --dns=127.0.0.1 -p 172.30.86.226:53:53/udp -p 172.30.86.226:53:53 -p 80:80 -p 443:443 -p 389:389 -p 636:636 -p 88:88 -p 464:464 -p 88:88/udp -p 464:464/udp -p 123:123/udp -v /home/nfs/ipadata:/data:Z -v /sys/fs/cgroup:/sys/fs/cgroup:ro --sysctl net.ipv6.conf.all.disable_ipv6=0 --tmpfs /run freeipa/freeipa-server ipa-server-install -U -r FREEIPA.CN --no-ntp --setup-dns --no-forwarders
运行容器的参数
- -h server.freeipa.cn 设置docker容器主机名 freeIPA ,和 -r FREEIPA.CN 要匹配
- -v /home/nfs/ipadata ipa数据挂载目录
- -e IPA_SERVER_IP=172.30.86.226 设置成主机IP 避免客户端DNS问题
- --no-ntp 不安装ntp服务
WEB 访问
- 配置本机host, 增加 server.freeipa.cn 172.30.86.226
- 或者配置dns 增加
search freeipa.cn
nameserver 172.30.86.226- 浏览器 输入 https://server.freeipa.cn ,用户名:admin(默认),密码:12345678 (-e PASSWORD=12345678 参数设置的初始密码)
客户端安装
-
修改主机名称 为xyz.freeipa.cn这样的符合FQDN的名称
-
修改主机DNS服务配置 ,增加172.30.86.226
-
运行 ipa客户端安装命令
搜集到的常用命令
- 查看IPA服务:systemctl status ipa
- 查看freeIPA服务状态:ipactl status
- 重启IPA服务:ipactl restart
- 重启http服务: systemctl restart httpd
- 查看http服务状态: systemctl status httpd
- debug模式重启ipa服务: ipactl restart -d
- 登录admin(kinit admin),获取票据,不然使用ipa xxx模块调试的时候,就会报错:pa: ERROR:
- 票据过期: kinit admin 重新登录获取
- debug模式测试能不能ping通服务: ipa -d ping
其他
- 可以从docker hub 下载符合需求的image
- 客户端也可以用镜像运行
- 有兴趣可以用podman运行镜像 ,podman相对比docker安全性更高。
参考资料
freeIPA 网站资料 Docker - FreeIPA
镜像资源 Docker Hub
podman 网站 Podman